Un guasto sfruttabile nel collegamento del ponte Ethereum ed arbitrato Nitro è stato rivelato da uno sviluppatore anonimo, evitando un altro importante hack crittografico nell'ecosistema crittografico.
L'hacker white hat, Riptide, ha rivendicato una taglia di 400 ETH rivelando un bug critico sulla soluzione di ridimensionamento di Ethereum Arbitrum che avrebbe potuto consentire a qualsiasi hacker di rubare tutti i depositi in arrivo tra il bridge Layer1 e Layer2.
Invece di sfruttare la violazione, l'hacker etico ha osservato: "Il mio attuale interesse è all'interno dell'arena cross-chain a causa della complessità coinvolta per gli sviluppatori di questi progetti e della notevole quantità di fondi a rischio a causa dell'attuale struttura 'honeypot' di la maggior parte delle implementazioni di bridge.
Un hacker etico dal cappello bianco devia un altro exploit multimilionario
Riptide ha notato in un post sul blog che sapeva che Arbitrum Nitro sarebbe stato lanciato e ha deciso di tenere d'occhio l'aggiornamento per verificarne il successo. Tuttavia, dopo aver trovato il problemi di violazione, l'hacker etico ha notato che c'era abbastanza tempo per mirare selettivamente a grandi depositi di ETH per rimanere inosservati per un periodo più lungo, sottrarre ogni singolo deposito che passa attraverso il ponte o semplicemente aspettare e anticipare il successivo enorme deposito di ETH.
La Posta in arrivo ritardata della catena Arbitrum, utilizzata per depositare ETH o token tramite un bridge, utilizza una funzione di inizializzazione. L'hacker white hat ha osservato che "possiamo dirottare tutti i depositi di ETH in entrata dagli utenti che tentano di collegarsi ad Arbitrum tramite la funzione depositEth()".
Le vulnerabilità sui bridge crittografici sono le più sfruttate
All'inizio di agosto, ponte crittografico Nomad è stato sfruttato per quasi 200 milioni di dollari poiché gli attacchi bridge sono una tattica sempre più comune per i criminali. Solo quest'anno si sono verificati numerosi attacchi, incluso l'attacco da 600 milioni di dollari al ponte Ronin rilanciato di Axie Infinity.
Secondo quanto riferito, gli hacker stola quasi $ 2 miliardi dal DeFi industria durante i primi sei mesi di quest'anno, secondo Chainalysis. Nel frattempo, si stima anche che Gruppi criminali nordcoreani ha già preso $ 1 miliardo in criptovaluta da DeFi protocolli nel solo 2022.
Con ciò, l'incidente ha anche avviato un dibattito sul numero di taglie consegnate agli sviluppatori e agli hacker white hat per aver esposto i punti deboli. Uno sviluppatore di Optimism, che utilizza l'handle di Twitter "smartcontracts.eth", ha affermato che, dato il potenziale impatto dell'errore, si sarebbe potuto ottenere la massima ricompensa, aggiungendo: "Il bug del bridge Arbitrum è il bug del bridge critico n. 3 causato da inizializzatori errati, nel caso avessimo bisogno di un altro motivo per sbarazzarci degli inizializzatori. Surprised Arbitrum ha pagato solo 400 ETH e non [la] taglia massima data."
Il blog ha evidenziato che il deposito più significativo registrato sul contratto di posta in arrivo è stato di 168,000 ETH (vicino a $ 250 milioni), con depositi totali in 24 ore che vanno da ~1000 a ~5000 ETH, esponendo l'entità di un potenziale rug pull o hack.
Negazione di responsabilità
Tutte le informazioni contenute nel nostro sito web sono pubblicate in buona fede e solo a scopo di informazione generale. Qualsiasi azione intrapresa dal lettore sulle informazioni trovate sul nostro sito web è rigorosamente a proprio rischio.
Fonte: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/