Isang mapagsamantalang pagkakamali sa tulay na kumukonekta Ethereum at arbitrasyon Ang Nitro ay inihayag ng isang hindi kilalang developer, na nag-iwas sa isa pang pangunahing crypto hack sa crypto ecosystem.
Ang white hat hacker, riptide, ay nag-claim ng bounty na 400 ETH sa pamamagitan ng pagpapakita ng kritikal na bug sa Ethereum scaling solution Arbitrum na maaaring nagbigay-daan sa sinumang hacker na nakawin ang lahat ng papasok na deposito sa pagitan ng Layer1 at Layer2 bridge.
Sa halip na samantalahin ang paglabag, sinabi ng etikal na hacker, "Ang aking kasalukuyang interes ay nasa loob ng cross-chain arena dahil sa kumplikadong kasangkot para sa mga developer ng mga proyektong ito at ang malaking halaga ng mga pondong nasa panganib dahil sa kasalukuyang istraktura ng 'honeypot' ng karamihan sa mga pagpapatupad ng tulay."
Ang etikal na white hat hacker ay naglilihis ng isa pang multi-milyong dolyar na pagsasamantala
Nabanggit ni Riptide sa isang post sa blog na alam niyang inilulunsad ang Arbitrum Nitro at nagpasyang bantayan ang pag-upgrade upang suriin ang tagumpay nito. Gayunpaman, pagkatapos mahanap ang katiwasayan paglabag, sinabi ng etikal na hacker na mayroong sapat na oras upang piliing i-target ang malalaking deposito ng ETH upang manatiling hindi natukoy sa mas mahabang panahon, siphon ang bawat solong deposito na dumadaan sa tulay, o maghintay lamang at patakbuhin ang susunod na napakalaking deposito ng ETH.
Ang Naantala na Inbox ng Arbitrum chain, na ginagamit para sa pagdedeposito ng ETH o mga token sa pamamagitan ng tulay, ay gumagamit ng function ng initializer. Napansin ng white hat hacker na "maaari naming i-hijack ang lahat ng papasok na deposito ng ETH mula sa mga user na sumusubok na mag-bridge sa Arbitrum sa pamamagitan ng function na depositEth()."
Ang mga kahinaan sa mga tulay ng crypto ay ang pinaka-pinagsasamantalahan
Noong unang bahagi ng Agosto, crypto bridge Nomad ay pinagsamantalahan ng halos $200 milyon dahil ang mga pag-atake sa tulay ay isang lumalagong karaniwang taktika para sa mga kriminal. Maraming pag-atake ang naganap ngayong taon lamang, kabilang ang $600 milyon na pag-atake sa muling inilunsad na tulay ng Ronin ng Axie Infinity.
Mga hacker daw nakaagaw halos $2 bilyon mula sa DeFi industriya sa unang anim na buwan ng taong ito, ayon sa Chainalysis. Samantala, tinatayang din iyon Mga grupong kriminal sa North Korea kumuha na ng $1 bilyon sa cryptocurrency mula sa DeFi protocol sa 2022 lamang.
Dahil dito, nagsimula na rin ang insidente ng debate tungkol sa bilang ng mga bounty na ibinigay sa mga developer at white hat hackers para sa paglantad ng mga kahinaan. Ang isang Optimism developer, na gumagamit ng Twitter handle na 'smartcontracts.eth,' ay nangatuwiran na dahil sa potensyal na epekto ng kasalanan, ang pinakamataas na gantimpala ay maaaring naibigay, at idinagdag, "Ang arbitrum bridge bug ay kritikal na bridge bug #3 na dulot ng masamang mga initializer, kung sakaling kailangan namin ng isa pang dahilan upang maalis ang mga initializer. Nagbayad lang ang Surprised Arbitrum ng 400 ETH at hindi [ang] maximum na bounty na ibinigay."
Binigyang-diin ng blog na ang pinakamahalagang deposito na naitala sa kontrata ng inbox ay 168,000 ETH (malapit sa $250 milyon), na may kabuuang mga deposito sa loob ng 24 na oras mula ~1000 hanggang ~5000 ETH, na naglalantad sa lawak ng potensyal na paghila o pag-hack ng rug.
Pagtanggi sa pananagutan
Ang lahat ng impormasyon na nilalaman sa aming website ay nai-publish sa mabuting pananampalataya at para sa pangkalahatang mga layunin ng impormasyon lamang. Anumang pagkilos na gagawin ng mambabasa sa impormasyong matatagpuan sa aming website ay mahigpit na nasa kanilang sariling peligro.
Pinagmulan: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/