Šį rytą paaiškėjo informacija apie pažeidžiamumą ir „Arbitrum“ sumokėtą premiją. Pataisytas išnaudojimas galėjo pakenkti daugiau nei 250 mln.
Pažeidžiamumą aptiko pseudonimu solidity bounty hunter „0xriptide“. Tai galėjo turėti įtakos bet kuriam vartotojui, kuris bandė sujungti lėšas iš Ethereum į Arbitrum Nitro, sakė 0xriptide.
Arbitrum sumokėjo 0xriptide 400 ETH (apie 520,000 XNUMX USD) kaip kompensaciją už įspėjimą apie pažeidžiamumą.
0xriptide's kasdienę veiklą sudaro „ImmuneFi“ – klaidų kaupimo platformos, kuri užkirto kelią daugiau nei 20 mlrd. Jo pagrindinis dėmesys pastaruoju metu buvo sutelktas į kryžminių grandinių išnaudojimų prevenciją, nes dėl daugumos tilto protokolų „medaus puodo“ struktūros jie kelia daug daugiau lėšų. pranešimas.
Jo pradinė Arbitrum išnaudojimo paieška prasidėjo prieš kelias savaites prieš Arbitrum Nitro atnaujinimą. Atlikęs pradinį tyrimą, jis aptiko pažeidžiamumą, kai pagal tarpinę sutartį buvo galima priimti indėlius, nors sutartis buvo inicijuota anksčiau.
0xriptide sakė,
„Kai užklysti an Neinicializuotas adreso kintamasis Solidity – visada turėtumėte šiek tiek stabtelėti ir toliau tirti, nes niekada nežinote, ar jis buvo paliktas neinicializuotas tikslingai, ar netyčia."
Tiltas išnaudoti
Įsigilinęs į neinicializuotą adresą, 0xriptide nustatė, kad įsilaužėlis galės nustatyti savo adresą kaip tiltą, imituodamas tikrąją sutartį, ir pavogti visus įeinančius ETH indėlius iš Etheruem į Arbitrum Nitro.
Įsilaužėlis būtų galėjęs lanksčiai nusitaikyti į didesnius ETH indėlius, kad nuslėptų savo veiksmus, arba pradėti partizaninio tipo ataką ir siurbti visas gaunamas lėšas.
Didžiausias indėlis per laikotarpį, kai galėjo įvykti išnaudojimas, buvo maždaug 168,000 250 ETH arba 24 mln. Vidutinis indėlių kiekis per bet kurį 1,000 valandų laikotarpį, kai buvo galima išnaudoti pažeidžiamumą, buvo nuo 5,000 XNUMX iki XNUMX XNUMX ETH.
© 2022 „The Block Crypto, Inc.“. Visos teisės saugomos. Šis straipsnis pateiktas tik informaciniais tikslais. Ji nesiūloma ir nesiekiama naudoti kaip teisinė, mokesčių, investavimo, finansinė ar kita konsultacija.
apie Autorius
Mike'as yra „blockchain“ ekosistemų reporteris, kurio specializacija yra nulinių žinių įrodymai, privatumas ir savarankiškas skaitmeninis identifikavimas. Prieš prisijungdamas prie „The Block“, Mike'as dirbo su „Circle“, „Blocknative“ ir įvairiais „DeFi“ augimo ir strategijos protokolais.
Šaltinis: https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss