Ang mga detalye ay lumabas ngayong umaga ng isang kahinaan at bounty na binayaran ng Arbitrum. Ang patched exploit ay maaaring nakompromiso ang higit sa $250 milyon.
Ang kahinaan ay natuklasan ng pseudonymous solidity bounty hunter na "0xriptide." Maaaring maapektuhan nito ang sinumang user na nagtangkang i-bridge ang mga pondo mula sa Ethereum patungo sa Arbitrum Nitro, sabi ng 0xriptide.
Ang Arbitrum ay nagbayad ng 0xriptide 400 ETH (mga $520,000) bilang kabayaran sa pag-alerto nito sa kahinaan.
0xriptide's Ang pang-araw-araw ay binubuo ng pag-iwas sa ImmuneFi, isang bug bounty platform na pumigil sa mga hack na higit sa $20 bilyon. Ang kanyang pangunahing pokus kamakailan ay nakasentro sa pagpigil sa mga cross-chain na pagsasamantala, dahil ang mga ito ay nagdudulot ng mas malaking halaga ng mga pondong nasa panganib dahil sa "honeypot" na istraktura ng karamihan sa mga protocol ng tulay, sinabi niya sa ang ulat.
Ang kanyang paunang paghahanap para sa pagsasamantala ng Arbitrum ay nagsimula ilang linggo na ang nakalipas bago ang pag-upgrade ng Arbitrum Nitro. Sa kanyang paunang pagsisiyasat, nakita niya ang isang kahinaan kung saan ang bridging contract ay nakatanggap ng mga deposito, kahit na ang kontrata ay nasimulan dati.
sabi ni 0xriptide,
“Pag natisod ka an uninitialized address variable sa Solidity — dapat palagi kang maglaan ng ilang sandali upang mag-pause at mag-imbestiga pa dahil hindi mo alam kung sinadya itong iwanang hindi nasimulan o aksidente.."
Ang tulay katapangang-gawa
Pagkatapos hukayin ang hindi pa nasimulang address, nalaman ng 0xriptide na magagawa ng isang hacker na itakda ang kanilang sariling address bilang tulay, gayahin ang aktwal na kontrata, at nakawin ang lahat ng papasok na deposito ng ETH mula sa Etheruem hanggang Arbitrum Nitro.
Ang hacker ay magkakaroon ng kakayahang umangkop sa alinman sa pag-target ng mas malalaking deposito ng ETH upang matakpan ang kanilang mga aksyon, o magsimula ng isang uri ng gerilya ng pag-atake at siphon ang lahat ng mga pondong pumapasok.
Ang pinakamalaking deposito sa panahon kung kailan maaaring mangyari ang pagsasamantala ay humigit-kumulang 168,000 ETH, o $250 milyon. Ang average na mga deposito sa anumang 24-oras na yugto ng panahon kung kailan ang kahinaan ay maaaring pinagsamantalahan ay mula sa 1,000 hanggang 5,000 ETH.
© 2022 Ang Block Crypto, Inc. Lahat ng Karapatan ay Nakareserba. Ang artikulong ito ay ibinigay para sa mga layuning pang-impormasyon lamang. Hindi ito inaalok o inilaan upang magamit bilang ligal, buwis, pamumuhunan, pinansiyal, o iba pang payo.
Tungkol sa May-akda
Si Mike ay isang reporter na sumasaklaw sa mga blockchain ecosystem, na dalubhasa sa zero-knowledge proofs, privacy, at self-sovereign digital identification. Bago sumali sa The Block, nagtrabaho si Mike sa Circle, Blocknative, at iba't ibang DeFi protocol sa paglago at diskarte.
Pinagmulan: https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss