Сёння раніцай з'явіліся падрабязнасці аб уразлівасці і прэміі, выплачанай Arbitrum. Выпраўлены эксплойт мог паставіць пад пагрозу больш чым 250 мільёнаў долараў.
Уразлівасць была выяўлена паляўнічым за галовамі пад псеўданімам «0xriptide». Гэта магло паўплываць на любога карыстальніка, які спрабаваў перавесці сродкі з Ethereum на Arbitrum Nitro, сказаў 0xriptide.
Arbitrum заплаціў 0xriptide 400 ETH (каля 520,000 XNUMX долараў) у якасці кампенсацыі за паведамленне аб уразлівасці.
0xriptide з дня ў дзень складаецца з пошуку ImmuneFi, платформы ўзнагароджання за памылкі, якая прадухіліла ўзломы на суму больш за 20 мільярдаў долараў. Апошнім часам яго асноўная ўвага была засяроджана на прадухіленні міжланцуговых эксплойтаў, паколькі яны ствараюць значна большы аб'ём сродкаў пад пагрозай з-за структуры «прыманкі» большасці пратаколаў моста, сказаў ён у даклад.
Яго першы пошук эксплойта Arbitrum пачаўся некалькі тыдняў таму перад абнаўленнем Arbitrum Nitro. Падчас свайго першапачатковага расследавання ён выявіў уразлівасць, у якой пераходны кантракт мог прымаць дэпазіты, нават калі кантракт быў ініцыялізаваны раней.
0xriptide сказаў,
«Калі вы спатыкнецеся an неініцыялізаваная адрасная зменная ў Solidity — вы заўсёды павінны спыніцца і даследаваць далей, таму што вы ніколі не ведаеце, наўмысна яна была пакінута неініцыялізаванай або выпадкова."
The bridge эксплуатаваць
Паглыбіўшыся ў неініцыялізаваны адрас, 0xriptide выявіў, што хакер зможа ўсталяваць свой уласны адрас у якасці моста, імітуючы фактычны кантракт, і выкрасці ўсе ўваходныя дэпазіты ETH з Etheruem на Arbitrum Nitro.
У хакера была б магчымасць альбо нацэліцца на больш буйныя дэпазіты ETH, каб схаваць свае дзеянні, альбо пачаць партызанскі тып атакі і выцягнуць усе сродкі, якія паступаюць.
Самы вялікі дэпазіт за перыяд, калі мог адбыцца эксплойт, складаў прыкладна 168,000 250 ETH, або 24 мільёнаў долараў. Сярэднія дэпазіты за любы 1,000-гадзінны перыяд часу, калі ўразлівасць магла быць выкарыстана, складалі ад 5,000 да XNUMX ETH.
© 2022 The Block Crypto, Inc. Усе правы абаронены. Гэты артыкул прадастаўляецца выключна ў інфармацыйных мэтах. Ён не прапануецца і не прызначаецца для выкарыстання ў якасці юрыдычных, падатковых, інвестыцыйных, фінансавых ці іншых рэкамендацый.
пра аўтара
Майк - рэпарцёр, які асвятляе экасістэмы блокчейн, які спецыялізуецца на доказах з нулявым веданнем, прыватнасці і незалежнай лічбавай ідэнтыфікацыі. Да прыходу ў The Block Майк працаваў з Circle, Blocknative і рознымі пратаколамі DeFi над развіццём і стратэгіяй.
Крыніца: https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss