Išnaudojamas tilto sujungimo gedimas Ethereum ir Arbitrumas „Nitro“ atskleidė anoniminis kūrėjas, išvengęs dar vieno didelio kriptovaliutų įsilaužimo į kriptovaliutų ekosistemą.
Baltosios kepurės įsilaužėlis „Riptide“ pareikalavo 400 ETH, atskleidęs kritinę „Ethereum“ mastelio keitimo sprendimo „Arbitrum“ klaidą, kuri galėjo leisti bet kuriam įsilaužėliui pavogti visas gaunamas nuosėdas tarp Layer1 ir Layer2 tilto.
Užuot pasinaudojęs pažeidimu, etiškas įsilaužėlis pažymėjo: „Mano dabartinis interesas yra kryžminės grandinės arena dėl šių projektų kūrėjų sudėtingumo ir didelės sumos lėšų, kurioms kyla pavojus dėl dabartinės „medaus puodo“ struktūros. dauguma tilto įgyvendinimų“.
Etiškas baltos kepurės įsilaužėlis nukreipia kitą kelių milijonų dolerių išnaudojimą
Riptide tinklaraščio įraše pažymėjo, kad žinojo, kad Arbitrum Nitro pradeda veikti, ir nusprendė stebėti atnaujinimą, kad patikrintų jo sėkmę. Tačiau radus saugumas pažeidimą, etiškas įsilaužėlis pažymėjo, kad buvo pakankamai laiko pasirinkti didelius ETH telkinius, kad jie liktų nepastebėti ilgesnį laiką, pašalintų kiekvieną per tiltą einantį indėlį arba tiesiog palauktų ir paleiskite kitą didžiulį ETH indėlį.
Arbitrum grandinės uždelstų gautų laiškų dėžutė, kuri naudojama ETH arba žetonų deponavimui per tiltą, naudoja inicijavimo funkciją. Baltosios skrybėlės įsilaužėlis pažymėjo, kad „galime užgrobti visus gaunamus ETH indėlius iš vartotojų, bandančių prisijungti prie Arbitrum per depozitoEth() funkciją“.
Labiausiai išnaudojamos kriptovaliutų tiltų pažeidžiamumas
Anksčiau rugpjūčio mėn. kriptovaliutų tiltas Nomad buvo išnaudota už beveik 200 milijonų dolerių, nes tiltų atakos tampa vis labiau paplitusi nusikaltėlių taktika. Vien šiais metais įvyko daugybė išpuolių, įskaitant 600 milijonų dolerių ataką prieš atnaujintą Axie Infinity Ronino tiltą.
Pranešama, kad įsilaužėliai pavogė beveik 2 mlrd defi pramonės per pirmuosius šešis šių metų mėnesius Chainalysis. Tuo tarpu taip pat manoma, kad Šiaurės Korėjos nusikalstamos grupuotės jau paėmė 1 milijardą dolerių kriptovaliutos iš defi protokolus vien 2022 m.
Dėl to šis incidentas taip pat pradėjo diskusiją apie kūrėjams ir baltųjų skrybėlių įsilaužėliams už silpnųjų vietų atskleidimą perduotų premijų skaičių. Optimizmo kūrėjas, kuris naudoja „Twitter“ tvarkyklę „smartcontracts.eth“, teigė, kad, atsižvelgiant į galimą gedimo poveikį, galėjo būti suteiktas didžiausias atlygis, ir pridūrė: „Arbitrum tilto klaida yra kritinė tilto klaida Nr. 3, kurią sukelia netinkami inicializatoriai. jei mums prireiktų kitos priežasties atsikratyti inicializatorių. Nustebęs Arbitrum sumokėjo tik 400 ETH, o ne didžiausią suteiktą premiją.
Tinklaraštis pabrėžė, kad didžiausias indėlis, įrašytas gautųjų dėžutėje, buvo 168,000 250 ETH (beveik 24 mln. USD), o bendras indėlis per 1000 valandas svyravo nuo ~ 5000 iki ~ XNUMX ETH, o tai atskleidžia galimo kilimėlio traukimo ar įsilaužimo mastą.
Atsakomybės neigimas
Visa mūsų svetainėje esanti informacija skelbiama sąžiningai ir tik bendro pobūdžio informacijos tikslais. Bet kokie veiksmai, kuriuos skaitytojas imasi remdamasis mūsų svetainėje esančia informacija, yra griežtai jų pačių rizika.
Šaltinis: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/