Kasutatav viga silla ühenduses Ethereum ja vahekohus Nitro paljastas anonüümne arendaja, vältides krüptoökosüsteemi järjekordset suurt krüptohäkki.
Valge mütsi häkker, riptide, nõudis 400 ETH-d, paljastades kriitilise vea Ethereumi skaleerimislahenduses Arbitrum, mis oleks võinud lubada igal häkkeril varastada kõik sissetulevad hoiused Layer1 ja Layer2 silla vahel.
Selle asemel, et rikkumist ära kasutada, märkis eetiline häkker: "Minu praegune huvi on ahelatevahelisel areenil, kuna nende projektide arendajad on keerulised ja praeguse "meepoti" struktuuri tõttu on ohus märkimisväärne hulk rahalisi vahendeid. enamik sillarakendusi.
Eetiline valge mütsi häkker suunab kõrvale järjekordse mitme miljoni dollari suuruse ärakasutamise
Riptide märkis ajaveebipostituses, et ta teadis, et Arbitrum Nitro käivitatakse, ja otsustas uuendusel silma peal hoida, et kontrollida selle edukust. Kuid pärast leidmist turvalisus rikkumist, märkis eetiline häkker, et oli piisavalt aega suurte ETH lademete valikuliseks sihtimiseks, et need jääksid pikemaks ajaks avastamata, eemaldaksid kõik silda läbivad hoiused või lihtsalt ootaksid ja käivitaksid järgmise massilise ETH hoiuse.
Arbitumi keti Delayed Inbox, mida kasutatakse ETH või žetoonide deponeerimiseks silla kaudu, kasutab lähtestamisfunktsiooni. Valge mütsi häkker märkis, et "saame kaaperdada kõik sissetulevad ETH hoiused kasutajatelt, kes üritavad funktsiooni depositEth() kaudu Arbitumi silda luua."
Enim kasutatakse ära krüptosildade haavatavused
Varem augustis krüptosild Nomad kasutati ära ligi 200 miljoni dollari eest, kuna sillarünnakud on kurjategijate jaoks üha tavalisem taktika. Ainuüksi sel aastal on toimunud arvukalt rünnakuid, sealhulgas 600 miljoni dollari suurune rünnak Axie Infinity taaskäivitatud Ronini sillale.
Häkkerid väidetavalt varastas aastast ligi 2 miljardit dollarit Defi tööstuse andmetel selle aasta esimese kuue kuu jooksul Chainalysis. Vahepeal on ka hinnanguliselt Põhja-Korea kuritegelikud rühmitused juba võttis 1 miljard dollarit krüptovaluutat Defi protokollid ainuüksi 2022. aastal.
Sellega on juhtum algatanud ka arutelu arendajatele ja valge mütsi häkkeritele nõrkuste paljastamise eest üle antud preemiate arvu üle. Optimismi arendaja, kes kasutab Twitteri käepidet 'smartcontracts.eth', väitis, et tõrke võimalikku mõju arvestades oleks võinud anda maksimaalse tasu, lisades: "Arbitumi sillaviga on kriitiline sillaviga nr 3, mille põhjustavad halvad lähtestajad. juhuks, kui vajame lähtestajatest vabanemiseks teist põhjust. Üllatunud Arbitrum maksis ainult 400 ETH ja mitte [maksimaalset] boonust.
Blogis rõhutati, et postkasti lepingus registreeritud kõige olulisem sissemakse oli 168,000 250 ETH (ligi 24 miljonit dollarit), kusjuures 1000 tunni jooksul tehtud sissemaksete kogusumma ulatus ~ 5000 kuni ~ XNUMX ETH, mis paljastab võimaliku vaiba tõmbamise või häkkimise ulatuse.
Kaebused
Kogu meie veebisaidil sisalduv teave avaldatakse heas usus ja ainult üldiseks teavitamiseks. Mis tahes toimingud, mida lugeja võtab meie veebisaidil leiduva teabe põhjal, on rangelt tema enda vastutusel.
Allikas: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/