Vanochtend kwamen er details naar voren over een kwetsbaarheid en premie betaald door Arbitrum. De gepatchte exploit zou meer dan $ 250 miljoen in gevaar hebben gebracht.
De kwetsbaarheid werd ontdekt door de pseudonieme solidity bounty hunter "0xriptide". Het had gevolgen kunnen hebben voor elke gebruiker die probeerde geld van Ethereum naar Arbitrum Nitro te overbruggen, zei 0xriptide.
Arbitrum heeft 0xriptide 400 ETH (ongeveer $ 520,000) betaald als compensatie voor het waarschuwen voor de kwetsbaarheid.
0xriptide's dag-tot-dag bestaat uit het doorzoeken van ImmuneFi, een bug bounty-platform dat hacks van meer dan $ 20 miljard heeft voorkomen. Zijn primaire focus de laatste tijd was gericht op het voorkomen van cross-chain exploits, omdat ze een aanzienlijk groter bedrag aan fondsen in gevaar brengen vanwege de "honeypot" -structuur van de meeste bridge-protocollen, zei hij in het verslag.
Zijn eerste zoektocht naar de Arbitrum-exploit begon een paar weken geleden voorafgaand aan de Arbitrum Nitro-upgrade. Bij zijn eerste onderzoek ontdekte hij een kwetsbaarheid waarbij het overbruggingscontract deposito's kon accepteren, ook al was het contract eerder geïnitialiseerd.
0xriptide zei,
"Als je struikelt over" an niet-geïnitialiseerde adresvariabele in Solidity - je moet altijd even de tijd nemen om te pauzeren en verder te onderzoeken, omdat je nooit weet of het opzettelijk niet-geïnitialiseerd is of per ongeluk."
De brug exploiteren
Na het niet-geïnitialiseerde adres te hebben onderzocht, ontdekte 0xriptide dat een hacker in staat zou zijn om zijn eigen adres als de brug in te stellen, het daadwerkelijke contract na te bootsen, en alle inkomende ETH-deposito's van Etheruem naar Arbitrum Nitro te stelen.
De hacker zou de flexibiliteit hebben gehad om ofwel grotere ETH-deposito's te targeten om hun acties te verdoezelen, of een guerrilla-achtige aanval beginnen en al het geld dat binnenkomt overhevelen.
De grootste storting tijdens de periode waarin de exploit had kunnen plaatsvinden, was ongeveer 168,000 ETH of $ 250 miljoen. De gemiddelde stortingen in een periode van 24 uur waarin de kwetsbaarheid had kunnen worden misbruikt, was ergens tussen de 1,000 en 5,000 ETH.
© 2022 The Block Crypto, Inc. Alle rechten voorbehouden. Dit artikel is uitsluitend bedoeld voor informatieve doeleinden. Het wordt niet aangeboden of bedoeld om te worden gebruikt als juridisch, fiscaal, investerings-, financieel of ander advies.
over de auteur
Mike is een verslaggever die zich bezighoudt met blockchain-ecosystemen, die gespecialiseerd is in zero-knowledge proofs, privacy en zelf-soevereine digitale identificatie. Voordat hij bij The Block kwam, werkte Mike met Circle, Blocknative en verschillende DeFi-protocollen op het gebied van groei en strategie.
Bron: https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss