Një defekt i shfrytëzueshëm në urën lidhëse Ethereum arbitrazhi Nitro u zbulua nga një zhvillues anonim, duke shmangur një tjetër hak të madh të kriptove në ekosistemin e kriptove.
Hakeri i kapelës së bardhë, riptide, pretendoi një shpërblim prej 400 ETH duke zbuluar një gabim kritik në zgjidhjen e shkallëzimit të Ethereum Arbitrum që mund të kishte lejuar çdo haker të vidhte të gjitha depozitat hyrëse midis urës Layer1 dhe Layer2.
Në vend që të shfrytëzonte shkeljen, hakeri etik vuri në dukje: “Interesi im aktual është brenda arenës ndër-zinxhirore për shkak të kompleksitetit të përfshirë për zhvilluesit e këtyre projekteve dhe sasisë së konsiderueshme të fondeve në rrezik për shkak të strukturës aktuale 'honeypot' të shumica e zbatimeve të urës.”
Hakeri etik i kapelës së bardhë devijon një tjetër shfrytëzim shumë milionë dollarësh
Riptide vuri në dukje në një postim në blog se ai e dinte se Arbitrum Nitro po lansohej dhe vendosi të mbante një sy në përmirësimin për të kontrolluar suksesin e tij. Megjithatë, pas gjetjes së siguri shkelje, hakeri etik vuri në dukje se kishte kohë të mjaftueshme për të synuar në mënyrë selektive depozita të mëdha ETH për të mbetur të pazbuluar për një periudhë më të gjatë, për të hequr çdo depozitë të vetme që kalon nëpër urë, ose thjesht për të pritur dhe për të drejtuar depozitën tjetër masive ETH.
Kutia hyrëse e vonuar e zinxhirit të arbitrazhit, e cila përdoret për depozitimin e ETH ose argumenteve nëpërmjet një ure, përdor një funksion inicializues. Hakeri i kapelës së bardhë vuri në dukje se "ne mund të rrëmbejmë të gjitha depozitat hyrëse të ETH nga përdoruesit që përpiqen të kalojnë në Arbitrum përmes funksionit depozitEth().
Dobësitë në urat e kriptove janë më të shfrytëzuarat
Më herët në gusht, kripto urë Nomad u shfrytëzua për gati 200 milionë dollarë pasi sulmet mbi urat janë një taktikë gjithnjë e më e zakonshme për kriminelët. Sulme të shumta kanë ndodhur vetëm këtë vit, duke përfshirë sulmin prej 600 milionë dollarësh në urën e rihapur Ronin të Axie Infinity.
Thuhet se hakerët vodhi gati 2 miliardë dollarë nga Defi industrisë gjatë gjashtë muajve të parë të këtij viti, sipas Chainalysis. Ndërkohë vlerësohet edhe se Grupet kriminale të Koresë së Veriut tashmë ka marrë 1 miliard dollarë në kriptomonedhë nga Defi protokollet vetëm në vitin 2022.
Me këtë, incidenti ka nisur gjithashtu një debat rreth numrit të dhuratave që u janë dorëzuar zhvilluesve dhe hakerëve të kapelave të bardha për ekspozimin e dobësive. Një zhvillues i Optimism, i cili përdor dorezën e Twitter 'smartcontracts.eth', argumentoi se duke pasur parasysh ndikimin e mundshëm të gabimit, mund të ishte dhënë shpërblimi maksimal, duke shtuar, "Defekti i urës së Arbitrum është defekti kritik i urës numër 3 i shkaktuar nga inicializues të keq. në rast se na duhej një arsye tjetër për të hequr qafe inicializuesit. Arbitrum i surprizuar pagoi vetëm 400 ETH dhe jo shpërblimin maksimal të dhënë.”
Blogu theksoi se depozita më e rëndësishme e regjistruar në kontratën e inbox-it ishte 168,000 ETH (afër 250 milionë dollarë), me totalin e depozitave në 24 orë që varionin nga ~ 1000 në ~ 5000 ETH, duke ekspozuar shtrirjen e një tërheqjeje ose hakimi të mundshëm të qilimit.
Mohim përgjegjësie
Të gjitha informacionet që përmbahen në faqen tonë të internetit publikohen me mirëbesim dhe vetëm për qëllime të informacionit të përgjithshëm. Çdo veprim që lexuesi ndërmerr mbi informacionin e gjetur në faqen tonë të internetit është në rrezik të vetë.
Burimi: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/