Butiran muncul pagi ini tentang kerentanan dan hadiah yang dibayar oleh Arbitrum. Eksploitasi yang ditambal boleh menjejaskan lebih daripada $250 juta.
Kerentanan itu ditemui oleh pemburu hadiah soliditi samaran "0xriptide." Ia boleh menjejaskan mana-mana pengguna yang cuba merapatkan dana daripada Ethereum kepada Arbitrum Nitro, kata 0xriptide.
Arbitrum telah membayar 0xriptide 400 ETH (kira-kira $520,000) sebagai pampasan kerana memaklumkannya tentang kerentanan.
0xriptide's sehari-hari terdiri daripada menyelusuri ImmuneFi, platform hadiah pepijat yang telah menghalang penggodaman lebih daripada $20 bilion. Tumpuan utamanya akhir-akhir ini tertumpu pada mencegah eksploitasi rantaian silang, kerana ia menimbulkan jumlah dana yang lebih besar berisiko disebabkan struktur "honeypot" kebanyakan protokol jambatan, katanya dalam Laporan itu.
Pencarian awalnya untuk eksploitasi Arbitrum bermula beberapa minggu yang lalu sebelum peningkatan Arbitrum Nitro. Pada siasatan awalnya, beliau mendapati kelemahan di mana kontrak penyambung dapat menerima deposit, walaupun kontrak itu telah dimulakan sebelum ini.
0xriptide berkata,
“Apabila kamu terjumpa an pembolehubah alamat yang tidak dimulakan dalam Solidity — anda harus sentiasa meluangkan sedikit masa untuk menjeda dan menyiasat lebih lanjut kerana anda tidak pernah tahu sama ada ia sengaja dibiarkan tanpa dimulakan atau secara tidak sengaja."
Jambatan mengeksploitasi
Selepas menggali alamat yang tidak dimulakan, 0xriptide mendapati bahawa penggodam akan dapat menetapkan alamat mereka sendiri sebagai jambatan, meniru kontrak sebenar, dan mencuri semua deposit ETH yang masuk dari Etheruem ke Arbitrum Nitro.
Penggodam akan mempunyai fleksibiliti sama ada menyasarkan deposit ETH yang lebih besar untuk mengaburkan tindakan mereka, atau memulakan serangan jenis gerila dan menyedut semua dana yang masuk.
Deposit terbesar semasa tempoh eksploitasi boleh berlaku ialah kira-kira 168,000 ETH, atau $250 juta. Purata deposit dalam mana-mana tempoh masa 24 jam apabila kerentanan itu boleh dieksploitasi adalah dari 1,000 hingga 5,000 ETH.
© 2022 The Block Crypto, Inc. Hak Cipta Terpelihara. Artikel ini disediakan untuk tujuan maklumat sahaja. Itu tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, pelaburan, kewangan, atau lain-lain.
mengenai Penulis
Mike ialah seorang wartawan yang meliputi ekosistem blockchain, yang pakar dalam pembuktian pengetahuan sifar, privasi dan pengenalan digital berdaulat sendiri. Sebelum menyertai The Block, Mike bekerja dengan Circle, Blocknative, dan pelbagai protokol DeFi mengenai pertumbuhan dan strategi.
Sumber: https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss