今天早上出現了有關 Arbitrum 支付的漏洞和賞金的詳細信息。 修補後的漏洞利用可能已損失超過 250 億美元。
該漏洞是由化名 Solidity 賞金獵人“0xriptide”發現的。 0xriptide 表示,它可能會影響任何試圖將資金從以太坊連接到 Arbitrum Nitro 的用戶。
Arbitrum 已支付 0xriptide 400 ETH(約 520,000 美元)作為補償,以提醒其註意該漏洞。
0xriptide的 日常工作包括搜索 ImmuneFi,這是一個漏洞賞金平台,已阻止超過 20 億美元的黑客攻擊。 他最近的主要重點是防止跨鏈攻擊,因為由於大多數橋接協議的“蜜罐”結構,跨鏈攻擊會帶來相當多的資金風險,他在 那個報告。
他對 Arbitrum 漏洞的初步搜索是在 Arbitrum Nitro 升級前幾週開始的。 在他的初步調查中,他發現了一個漏洞,即使該合約之前已初始化,橋接合約也能夠接受存款。
0xriptide 說,
“當你偶然發現 an Solidity 中未初始化的地址變量——你應該總是花點時間停下來進一步調查,因為你永遠不知道它是故意未初始化還是意外.“
這座橋 利用
在深入挖掘未初始化的地址後,0xriptide 發現黑客能夠將自己的地址設置為橋樑,模仿實際合約,並將所有從 Etheruem 收到的 ETH 存款竊取到 Arbitrum Nitro。
黑客可以靈活地選擇更大的 ETH 存款以掩蓋他們的行為,或者開始游擊式的攻擊並吸走所有進入的資金。
在可能發生漏洞利用期間,最大的存款約為 168,000 ETH,即 250 億美元。 在漏洞可能被利用的任何 24 小時內,平均存款在 1,000 到 5,000 ETH 之間。
©2022 The Block Crypto,Inc.保留所有權利。 本文僅供參考。 不提供或不打算將其用作法律,稅務,投資,財務或其他建議。
作者簡介
Mike 是一名報導區塊鏈生態系統的記者,專門研究零知識證明、隱私和自主數字識別。 在加入 The Block 之前,Mike 與 Circle、Blocknative 和各種 DeFi 協議就增長和戰略合作。
資料來源:https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss