Ma reggel részletek derültek ki az Arbitrum által fizetett sebezhetőségről és jutalomról. A javított exploit több mint 250 millió dollárt veszélyeztethetett.
A sebezhetőséget az álnevű, solidity fejvadász, a „0xriptide” fedezte fel. Bármely felhasználót érinthetett volna, aki megpróbált pénzt áthidalni az Ethereumból az Arbitrum Nitroba, mondta a 0xriptide.
Az Arbitrum 0xriptide 400 ETH-t (körülbelül 520,000 XNUMX USD) fizetett kompenzációként a sérülékenységre való figyelmeztetésért.
0xriptide A mindennapi munka az ImmuneFi átvizsgálásából áll, egy hibajavító platform, amely több mint 20 milliárd dollár értékű feltörést akadályozott meg. Az utóbbi időben elsősorban a láncokon átívelő kizsákmányolások megelőzésére helyezte a hangsúlyt, mivel ezek jóval nagyobb összegű kockázatot jelentenek a legtöbb hídprotokoll „mézesedény” szerkezete miatt. a jelentés.
Az Arbitrum kiaknázása utáni kezdeti keresése néhány héttel ezelőtt kezdődött az Arbitrum Nitro frissítése előtt. Az első vizsgálat során talált egy sebezhetőséget, ahol az áthidaló szerződés képes volt betéteket fogadni, annak ellenére, hogy a szerződést korábban inicializálták.
0xriptide azt mondta,
„Amikor belebotlasz an inicializálatlan címváltozó a Solidityben – mindig szánjon egy pillanatot a szünetre, és tovább vizsgálja, mert soha nem tudhatja, hogy szándékosan hagyta inicializálatlanul, vagy véletlenül."
A híd kihasználni
Miután beleásott az inicializálatlan címbe, a 0xriptide megállapította, hogy a hacker a saját címét állíthatja be hídként, a tényleges szerződést utánozva, és ellophatja az összes bejövő ETH-betétet Etheruemből az Arbitrum Nitroba.
A hackernek megvolt volna a lehetősége arra, hogy nagyobb ETH-betéteket célozzon meg, hogy elfedje tevékenységét, vagy gerilla-típusú támadásba kezd, és az összes beérkező pénzt elszívja.
A legnagyobb betét abban az időszakban, amikor a kizsákmányolás megtörténhetett, nagyjából 168,000 250 ETH, azaz 24 millió dollár volt. Az átlagos betétek bármely 1,000 órás periódusban, amikor a sérülékenységet kihasználhatták volna, 5,000 és XNUMX ETH között volt.
© 2022 The Block Crypto, Inc. Minden jog fenntartva. Ez a cikk csak tájékoztató jellegű. Nem kínálják, vagy nem szándékoznak felhasználni jogi, adóügyi, befektetési, pénzügyi vagy egyéb tanácsadásként.
Körülbelül Szerző
Mike a blokklánc-ökoszisztémákkal foglalkozó riporter, aki a tudás nélküli bizonyítékokra, a magánéletre és az önálló digitális azonosításra specializálódott. Mielőtt csatlakozott volna a The Blockhoz, Mike a Circle-lel, a Blocknative-vel és különböző DeFi-protokollokkal dolgozott a növekedés és a stratégia terén.
Forrás: https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss