Kesalahan yang boleh dieksploitasi dalam penyambungan jambatan Ethereum and timbang tara Nitro telah didedahkan oleh pembangun tanpa nama, mengelakkan satu lagi penggodaman kripto utama dalam ekosistem kripto.
Penggodam topi putih, riptide, menuntut hadiah sebanyak 400 ETH dengan mendedahkan pepijat kritikal pada penyelesaian skala Ethereum Arbitrum yang boleh membenarkan mana-mana penggodam mencuri semua deposit masuk antara jambatan Layer1 dan Layer2.
Daripada mengeksploitasi pelanggaran itu, penggodam beretika itu menyatakan, “Kepentingan semasa saya adalah dalam arena rantaian silang kerana kerumitan yang terlibat untuk pemaju projek ini dan jumlah dana yang besar berisiko disebabkan oleh struktur 'honeypot' semasa kebanyakan pelaksanaan jambatan."
Penggodam topi putih beretika mengalihkan satu lagi eksploitasi berjuta-juta dolar
Riptide menyatakan dalam catatan blog bahawa dia tahu Arbitrum Nitro sedang melancarkan dan memutuskan untuk memerhatikan peningkatan untuk menyemak kejayaannya. Namun, setelah menemui keselamatan pelanggaran, penggodam beretika menyatakan terdapat masa yang mencukupi untuk menyasarkan deposit ETH yang besar secara terpilih agar kekal tidak dapat dikesan untuk tempoh yang lebih lama, menyedut setiap deposit yang melalui jambatan, atau hanya menunggu dan menjalankan deposit ETH besar-besaran seterusnya.
Peti Masuk Tertunda rantaian Arbitrum, yang digunakan untuk mendepositkan ETH atau token melalui jambatan, menggunakan fungsi pemula. Penggodam topi putih itu menyatakan bahawa "kami boleh merampas semua deposit ETH yang masuk daripada pengguna yang cuba menyambung ke Arbitrum melalui fungsi depositEth()."
Kerentanan pada jambatan crypto adalah yang paling dieksploitasi
Awal bulan Ogos, jambatan kripto Nomad telah dieksploitasi untuk hampir $200 juta kerana serangan jambatan adalah taktik yang semakin biasa bagi penjenayah. Banyak serangan telah berlaku pada tahun ini sahaja, termasuk serangan $600 juta ke atas jambatan Ronin Axie Infinity yang dilancarkan semula.
Penggodam dilaporkan Mencuri hampir $2 bilion daripada DeFi industri dalam tempoh enam bulan pertama tahun ini, menurut Chainalysis. Sementara itu, dianggarkan juga Kumpulan penjenayah Korea Utara sudah mengambil $1 bilion dalam mata wang kripto daripada DeFi protokol pada tahun 2022 sahaja.
Dengan itu, kejadian itu juga telah memulakan perdebatan mengenai jumlah habuan yang diserahkan kepada pemaju dan penggodam topi putih kerana mendedahkan kelemahan. Seorang pembangun Optimisme, yang menggunakan pemegang Twitter 'smartcontracts.eth,' berhujah bahawa memandangkan potensi kesan kesalahan itu, ganjaran maksimum boleh diberikan, sambil menambah, "Pepijat jambatan arbitrum ialah pepijat jambatan kritikal #3 yang disebabkan oleh pemula yang buruk, sekiranya kami memerlukan satu lagi sebab untuk menyingkirkan pemula. Terkejut Arbitrum hanya membayar 400 ETH dan bukannya hadiah maksimum yang diberikan.”
Blog itu menyerlahkan bahawa deposit paling ketara yang direkodkan pada kontrak peti masuk ialah 168,000 ETH (hampir $250 juta), dengan jumlah deposit dalam 24 jam antara ~1000 hingga ~5000 ETH, mendedahkan tahap potensi tarikan atau godam permaidani.
Penafian
Semua maklumat yang terdapat di laman web kami diterbitkan dengan niat baik dan hanya untuk tujuan maklumat umum. Segala tindakan yang diambil oleh pembaca terhadap maklumat yang terdapat di laman web kami adalah dengan risiko mereka sendiri.
Sumber: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/