הבוקר עלו פרטים על פגיעות ופרס ששולמה על ידי ארביטרום. הניצול המתוקן יכול היה לסכן יותר מ-250 מיליון דולר.
הפגיעות התגלתה על ידי צייד ראשים מוצק בעל שם בדוי "0xriptide". זה יכול היה להשפיע על כל משתמש שניסה לגשר בין כספים מאתריום ל-Arbitrum Nitro, אמר 0xriptide.
ארביטרום שילמה ל-0xriptide 400 ETH (כ-520,000$) כפיצוי על ההתראה על הפגיעות.
של 0xriptide היום-יום מורכב מסריקת ImmuneFi, פלטפורמת באגים שמנעה פריצות של יותר מ-20 מיליארד דולר. ההתמקדות העיקרית שלו לאחרונה התמקדה במניעת ניצולים חוצי שרשרת, מכיוון שהם מהווים כמות גדולה יותר של כספים בסיכון בשל מבנה "סיר הדבש" של רוב פרוטוקולי הגשרים, הוא אמר ב. הדו"ח.
החיפוש הראשוני שלו אחר ניצול הארביטראם החל לפני מספר שבועות לקראת השדרוג של ארביטרום ניטרו. בחקירתו הראשונית, הוא מצא נקודת תורפה שבה חוזה הגישור היה מסוגל לקבל הפקדות, למרות שהחוזה אותחל קודם לכן.
0xriptide אמר,
"כשאתה נתקל an משתנה כתובת לא מאותחל ב-Solidity - אתה תמיד צריך להקדיש רגע להשהות ולחקור עוד כי אתה אף פעם לא יודע אם הוא נותר ללא אתחול בכוונה או בטעות."
הגשר לנצל
לאחר חפירה בכתובת הלא מאותחלת, 0xriptide מצא שהאקר יוכל להגדיר את הכתובת שלו כגשר, לחקות את החוזה בפועל, ולגנוב את כל הפקדות ה-ETH הנכנסות מ-Etheruem ל-Arbitrum Nitro.
להאקר הייתה הגמישות לכוון לפיקדונות ETH גדולים יותר על מנת לטשטש את פעולותיו, או להתחיל בהתקפה מסוג גרילה ולספוג את כל הכספים שנכנסים.
הפיקדון הגדול ביותר בתקופה שבה הניצול יכול היה להתרחש היה בערך 168,000 ETH, או 250 מיליון דולר. ההפקדות הממוצעות בכל פרק זמן של 24 שעות שבהן ניתן היה לנצל את הפגיעות היה בין 1,000 ל-5,000 ETH.
© 2022 The Crypto Block, Inc. כל הזכויות שמורות. מאמר זה מסופק למטרות מידע בלבד. הוא לא מוצע או מיועד לשמש כייעוץ משפטי, מס, השקעה, פיננסי או אחר.
אודות המחבר
מייק הוא כתב שמסקר מערכות אקולוגיות של בלוקצ'יין, שמתמחה בהוכחות אפס ידע, פרטיות וזיהוי דיגיטלי ריבוני. לפני שהצטרף ל-The Block, מייק עבד עם Circle, Blocknative ופרוטוקולים שונים של DeFi על צמיחה ואסטרטגיה.
מקור: https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss