Detajet dolën sot në mëngjes për një cenueshmëri dhe shpërblim të paguar nga Arbitrum. Shfrytëzimi i arnuar mund të kishte kompromentuar më shumë se 250 milionë dollarë.
Dobësia u zbulua nga gjuetari i falsifikuar i soliditetit "0xriptide". Mund të ketë prekur çdo përdorues që ka tentuar të lidh fondet nga Ethereum në Arbitrum Nitro, tha 0xriptide.
Arbitrum ka paguar 0xriptide 400 ETH (rreth 520,000 dollarë) si kompensim për paralajmërimin e tij për cenueshmërinë.
0xriptide's e përditshmja përbëhet nga pastrimi i ImmuneFi, një platformë e shpërblimit të gabimeve që ka parandaluar hakimet prej më shumë se 20 miliardë dollarësh. Fokusi i tij kryesor kohët e fundit është përqendruar në parandalimin e shfrytëzimeve ndër-zinxhirore, pasi ato paraqesin një sasi mjaft më të madhe fondesh në rrezik për shkak të strukturës "honeypot" të shumicës së protokolleve të urave, tha ai në Raporti.
Kërkimi i tij fillestar për shfrytëzimin e Arbitrum filloi disa javë më parë përpara përmirësimit të Arbitrum Nitro. Me hetimin e tij fillestar, ai gjeti një dobësi ku kontrata e urës mund të pranonte depozita, edhe pse kontrata ishte inicializuar më parë.
0xriptide tha,
“Kur të pengosh an ndryshorja e adresës së pa inicializuar në Solidity - gjithmonë duhet të merrni një moment për të ndalur dhe për të hetuar më tej sepse nuk e dini nëse është lënë qëllimisht i pa inicializuar apo rastësisht."
Urë shfrytëzoj
Pas gërmimit në adresën e pa inicializuar, 0xriptide zbuloi se një haker do të ishte në gjendje të vendoste adresën e tij si urë, duke imituar kontratën aktuale dhe të vidhte të gjitha depozitat hyrëse të ETH nga Etheruem në Arbitrum Nitro.
Hakeri do të kishte pasur fleksibilitetin ose të synonte depozitat më të mëdha të ETH në mënyrë që të errësonte veprimet e tyre, ose të fillonte një sulm të llojit gueril dhe të merrte të gjitha fondet që vijnë.
Depozita më e madhe gjatë periudhës kur mund të kishte ndodhur shfrytëzimi ishte afërsisht 168,000 ETH, ose 250 milionë dollarë. Mesatarja e depozitave në çdo periudhë kohore 24-orëshe kur dobësia mund të ishte shfrytëzuar ishte diku nga 1,000 në 5,000 ETH.
© 2022 Blloku Crypto, Inc. Të gjitha të drejtat e rezervuara. Ky artikull është dhënë vetëm për qëllime informative. Nuk ofrohet ose nuk synohet të përdoret si këshillë ligjore, tatimore, investimesh, financiare ose këshillë tjetër.
Rreth Autorit
Mike është një reporter që mbulon ekosistemet blockchain, i specializuar në provat e njohurive zero, privatësinë dhe identifikimin dixhital vetë-sovran. Para se t'i bashkohej The Block, Mike punoi me Circle, Blocknative dhe protokolle të ndryshme DeFi mbi rritjen dhe strategjinë.
Burimi: https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss