Arbitrum, populiarus 2 sluoksnio sprendimas, skirtas Ethereum, rugsėjo 19 d. įsitraukė į baltos kepurės įsilaužėlį. Šaltinis, įsilaužėlis aptiko galimą Arbitrum kodo pažeidžiamumą. Dėl to tinklas naudojo 400 ETH, kurių vertė apie 560,000 XNUMX USD.
Bėgant metams daugybė įsilaužimų ir išnaudojimų kriptovaliutų pramonę paveikė įvairiais aspektais. Kai kurie įsilaužimo incidentai yra susiję su pažeidžiamumu, kurį įsilaužėliai aptinka kriptovaliutų tinkluose.
Kai kurie baltųjų skrybėlių įsilaužėliai kartais atsiskaitys ir gaus dovaną iš protokolų. Tačiau kiti įsilaužėliai iškraus turimas lėšas iš tinklo spragų.
Įsilaužėlis, vadinamas Riptide on Twitter, nepadengtos galios išmaniosiose sutartyse, parašytose Solidity. Riptide buvo aptiktas nuskenavus Arbitrum Nitro kodą likus kelioms savaitėms iki jo išleidimo. Įsilaužėlis norėjo patikrinti sutartis, kad įsitikintų, jog jų atnaujinimas buvo sėkmingas.
Įsilaužėlis aptiko Arbitrum L1-L2 tilto pažeidžiamumą
Po pilno atnaujinimo „Riptide“ nustatė keletą tilto klaidų, kurios trukdė sklandžiai veikti. Galiausiai įsilaužėlis atliko keletą detalių patikrinimų ir aptiko tilto gautųjų sekvencerio vėlavimą.
Anot „Riptide“, vartotojas gali pasirašyti ir paskelbti L1 operaciją „Arbitrum“ grandinės „Delayed Inbox“, kad nusiųstų pranešimą sekventoriui. Toks procesas daugiausia taikomas naudojant tiltą ETH ar kitiems žetonams deponuoti.
Iš naujo nuskaitydamas sutartį, įsilaužėlis pripažino kritinį sutarties pažeidžiamumą. Riptide'as pastebėjo, kad gautųjų sekvencinėje programoje yra klaida, per kurią jis arba bet kuris niekšiškas aktorius gali išmesti milijonus dolerių.
Prieš pastebėdami, jie galėjo nukreipti gaunamus ETH indėlius iš L1 į L2 tiltą į savo pinigines.
Po jo atradimo Riptide pranešė apie Arbitrum pažeidžiamumą ir paprašė tik 400 ETH atlygio. Tačiau „Arbitrum“ pasirodymas nustebino, nes įsilaužėliui jie jau pasiūlė daugiausiai 2 mln.
Kripto erdvės ir baltos skrybėlės įsilaužimas
Kriptografinė erdvė susidūrė su keletu baltų skrybėlių įsilaužimo. Tokie įsilaužimai įvairiose platformose yra susiję su galimų tinklo išmaniųjų sutarčių ar kodo spragų aptikimu.
Orchid, DeFi VPN protokolo darbuotojas Jay'us 'Saurik' Freemanas, pranešė optimizmo, Ethereum L2 mastelio keitimo sprendimo, pažeidžiamumas. Dėl to protokolas apdovanoti Freemanas su 2 mln.
Be to, „Coinbase“ vasario viduryje atsiskyrė su 250,000 XNUMX USD su įsilaužėliu, žinomu kaip „Alfa medis“. Įsilaužėlis aptiko kriptovaliutų biržos „Advanced Trading“ funkcijos nutrūkimą ir sutaupė apie milijardą dolerių nuostolių. „Coinbase“ pranešė, kad mokėjimas yra didžiulė dovana jos istorijoje.
Prisiminkite, kad 2022 m. kovo mėn. „Arbitrum“ patyrė išnaudojimą dėl įsilaužimo ir prarado daugiau nei 100 NFT iš „TreasureDAO“. Incidento metu žetonų vertė buvo apie 1.4 mln.
Teminis vaizdas Pixabay, diagrama: TradingView.com
Šaltinis: https://bitcoinist.com/arbitrum-pays-hacker-a-hefty-reward-for-a-bug/