Een exploiteerbare fout in de verbinding van de brug Ethereum en arbitrum Nitro werd onthuld door een anonieme ontwikkelaar, waardoor een nieuwe grote crypto-hack in het crypto-ecosysteem werd vermeden.
De white hat-hacker, riptide, claimde een premie van 400 ETH door een kritieke bug te onthullen in de Ethereum-schaaloplossing Arbitrum, waardoor elke hacker alle inkomende stortingen tussen de Layer1- en Layer2-bridge had kunnen stelen.
In plaats van de inbreuk uit te buiten, merkte de ethische hacker op: "Mijn huidige interesse ligt in de ketenoverstijgende arena vanwege de complexiteit die ermee gemoeid is voor de ontwikkelaars van deze projecten en de aanzienlijke hoeveelheid fondsen die gevaar lopen als gevolg van de huidige 'honeypot'-structuur van de meeste bridge-implementaties.”
Ethische white hat-hacker leidt weer een misbruik van meerdere miljoenen dollars af
Riptide merkte in een blogpost op dat hij wist dat Arbitrum Nitro werd gelanceerd en besloot de upgrade in de gaten te houden om het succes ervan te controleren. Echter, na het vinden van de veiligheid inbreuk, merkte de ethische hacker op dat er genoeg tijd was om selectief grote ETH-deposito's te targeten om voor een langere periode onopgemerkt te blijven, elke afzonderlijke storting die door de brug gaat, over te hevelen, of gewoon te wachten en de volgende enorme ETH-storting aan de voorkant uit te voeren.
De Delayed Inbox van de Arbitrum-keten, die wordt gebruikt voor het deponeren van ETH of tokens via een bridge, maakt gebruik van een initialisatiefunctie. De white hat-hacker merkte op dat "we alle inkomende ETH-deposito's kunnen kapen van gebruikers die via de depositEth()-functie proberen te overbruggen naar Arbitrum."
Kwetsbaarheden op crypto-bridges worden het meest misbruikt
Eerder in augustus cryptobrug Nomad werd uitgebuit voor bijna $ 200 miljoen, aangezien bridge-aanvallen een steeds vaker voorkomende tactiek zijn voor criminelen. Alleen al dit jaar hebben er talloze aanvallen plaatsgevonden, waaronder de aanval van $ 600 miljoen op de opnieuw gelanceerde Ronin-brug van Axie Infinity.
Hackers naar verluidt stola bijna $ 2 miljard van de Defi industrie tijdens de eerste zes maanden van dit jaar, volgens Chainalysis. Ondertussen wordt ook geschat dat Noord-Koreaanse criminele groepen heeft al $ 1 miljard aan cryptocurrency van Defi protocollen alleen al in 2022.
Daarmee heeft het incident ook een discussie op gang gebracht over het aantal premies dat wordt overhandigd aan de ontwikkelaars en white hat-hackers voor het blootleggen van zwakke punten. Een ontwikkelaar van Optimism, die de Twitter-handle 'smartcontracts.eth' gebruikt, voerde aan dat gezien de potentiële impact van de fout, de maximale beloning had kunnen worden gegeven, en voegde eraan toe: "Arbitrum bridge-bug is kritieke bridge-bug #3 veroorzaakt door slechte initializers, voor het geval we nog een reden nodig hadden om initializers te verwijderen. Surprised Arbitrum betaalde slechts 400 ETH en niet [de] maximale bounty."
De blog benadrukte dat de belangrijkste storting op het inbox-contract 168,000 ETH was (bijna $ 250 miljoen), met totale stortingen in 24 uur variërend van ~ 1000 tot ~ 5000 ETH, wat de omvang van een mogelijke tapijttrek of hack blootlegt.
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt naar aanleiding van de informatie op onze website, is strikt op eigen risico.
Bron: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/