I dettagli sono emersi questa mattina su una vulnerabilità e una taglia pagata da Arbitrum. L'exploit patchato avrebbe potuto compromettere più di $ 250 milioni.
La vulnerabilità è stata scoperta dal cacciatore di taglie pseudonimo "0xriptide". Potrebbe aver colpito qualsiasi utente che ha tentato di collegare fondi da Ethereum ad Arbitrum Nitro, ha affermato 0xriptide.
Arbitrum ha pagato 0xriptide 400 ETH (circa $ 520,000) come compenso per averlo avvisato della vulnerabilità.
0xriptide day-to-day comprende la perlustrazione di ImmuneFi, una piattaforma di ricompense di bug che ha impedito attacchi di oltre 20 miliardi di dollari. Il suo obiettivo principale ultimamente è stato incentrato sulla prevenzione degli exploit cross-chain, poiché mettono a rischio una quantità considerevolmente maggiore di fondi a causa della struttura "honeypot" della maggior parte dei protocolli bridge, ha affermato in il rapporto.
La sua ricerca iniziale per l'exploit di Arbitrum è iniziata alcune settimane fa prima dell'aggiornamento di Arbitrum Nitro. Durante la sua indagine iniziale, ha riscontrato una vulnerabilità in cui il contratto transitorio era in grado di accettare depositi, anche se il contratto era stato inizializzato in precedenza.
0xriptide ha detto,
“Quando inciampi an variabile di indirizzo non inizializzata in Solidity: dovresti sempre prenderti un momento per fermarti e indagare ulteriormente perché non sai mai se è stata lasciata intenzionalmente non inizializzata o per caso."
Il ponte sfruttare
Dopo aver scavato nell'indirizzo non inizializzato, 0xriptide ha scoperto che un hacker sarebbe stato in grado di impostare il proprio indirizzo come bridge, imitando il contratto effettivo, e rubare tutti i depositi di ETH in entrata da Etheruem ad Arbitrum Nitro.
L'hacker avrebbe avuto la flessibilità di prendere di mira depositi di ETH più grandi per oscurare le loro azioni, o iniziare un attacco di tipo guerriglia e sottrarre tutti i fondi in entrata.
Il deposito più grande durante il periodo in cui potrebbe essersi verificato l'exploit è stato di circa 168,000 ETH, o $ 250 milioni. I depositi medi in qualsiasi periodo di 24 ore in cui la vulnerabilità avrebbe potuto essere sfruttata erano compresi tra 1,000 e 5,000 ETH.
© 2022 The Block Crypto, Inc. Tutti i diritti riservati. Questo articolo è fornito a solo scopo informativo. Non viene offerto o destinato a essere utilizzato come consulenza legale, fiscale, di investimento, finanziaria o di altro tipo.
Chi Autore
Mike è un giornalista che si occupa di ecosistemi blockchain, specializzato in prove a conoscenza zero, privacy e identificazione digitale auto-sovrano. Prima di entrare in The Block, Mike ha lavorato con Circle, Blocknative e vari protocolli DeFi su crescita e strategia.
Fonte: https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss