Täna hommikul selgusid üksikasjad Arbitrumi poolt makstava haavatavuse ja pearaha kohta. Paigutatud ärakasutamine oleks võinud kahjustada rohkem kui 250 miljonit dollarit.
Haavatavuse avastas pseudonüümne soliidsuse pearahakütt "0xriptide". See oleks võinud mõjutada kõiki kasutajaid, kes üritasid rahalisi vahendeid Ethereumilt Arbitrum Nitrole ühendada, teatas 0xriptide.
Arbitrum on haavatavuse eest hoiatamise eest maksnud 0xriptide 400 ETH (umbes 520,000 XNUMX dollarit).
0xriptide igapäevane tegevus hõlmab ImmuneFi – vigade haldamise platvormi – puhastamist, mis on hoidnud ära enam kui 20 miljardi dollari väärtuses häkkimisi. Tema sõnul on ta viimasel ajal keskendunud ahelaüleste ärakasutamiste ärahoidmisele, kuna need kujutavad enamiku sillaprotokollide „meepoti” struktuuri tõttu ohtu tunduvalt suurema summa raha, ütles ta aruande.
Tema esialgne otsing Arbitrumi ärakasutamiseks algas mõni nädal tagasi enne Arbitrum Nitro uuendamist. Esialgsel uurimisel leidis ta haavatavuse, kus sildlepinguga oli võimalik hoiuseid vastu võtta, kuigi leping oli varem vormistatud.
0xriptide ütles,
"Kui sa komistad an initsialiseerimata aadressi muutuja Solidity'is – peaksite alati võtma hetkeks peatumiseks ja edasi uurima, sest kunagi ei tea, kas see jäeti sihilikult initsialiseerimata või kogemata."
Sild ära kasutama
Pärast initsialiseerimata aadressi uurimist leidis 0xriptide, et häkker saab määrata sillaks oma aadressi, jäljendades tegelikku lepingut, ja varastada kõik Etheruemist Arbitrum Nitrosse sissetulevad ETH hoiused.
Häkkeril oleks olnud paindlikkus kas sihtida suuremaid ETH-hoiuseid, et oma tegevust varjata, või alustada sissitüüpi rünnakut ja kogu sissetulev raha välja tõmmata.
Suurim hoius perioodil, mil ekspluateerimine võis toimuda, oli ligikaudu 168,000 250 ETH ehk 24 miljonit dollarit. Keskmine hoiused mis tahes 1,000-tunnise ajavahemiku jooksul, mil haavatavust oleks võinud ära kasutada, olid vahemikus 5,000 kuni XNUMX ETH.
© 2022 The Block Crypto, Inc. Kõik õigused kaitstud. See artikkel on esitatud ainult informatiivsel eesmärgil. Seda ei pakuta ega kavatseta kasutada juriidilise, maksu-, investeerimis-, finants- ega muu nõuandena.
Teave Autor:
Mike on plokiahela ökosüsteeme käsitlev reporter, kes on spetsialiseerunud nullteadmiste tõenditele, privaatsusele ja iseseisvale digitaalsele tuvastamisele. Enne The Blockiga liitumist töötas Mike kasvu ja strateegia alal Circle'i, Blocknative'i ja erinevate DeFi protokollidega.
Allikas: https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss