另一位白帽黑客在揭露 Arbitrum 漏洞後挽救了局面

橋樑連接中的可利用故障 以太幣仲裁 Nitro 是由一位匿名開發人員透露的,避免了加密生態系統中的另一次重大加密黑客攻擊。

白帽黑客 riptide 通過揭露以太坊擴容解決方案 Arbitrum 上的一個嚴重漏洞獲得了 400 ETH 的賞金,該漏洞可能允許任何黑客竊取 Layer1 和 Layer2 橋之間的所有傳入存款。

道德黑客沒有利用漏洞,而是指出,“我目前的興趣在於跨鏈領域,因為這些項目的開發人員所涉及的複雜性以及由於當前的‘蜜罐’結構導致大量資金面臨風險。大多數橋接實現。”

道德白帽黑客轉移了另一個數百萬美元的漏洞

Riptide 在一篇博客文章中指出,他知道 Arbitrum Nitro 即將推出,並決定密切關注升級以檢查其成功。 然而,發現後 安全 違反,道德黑客指出,有足夠的時間選擇性地針對大量 ETH 存款,以便在更長時間內不被發現,虹吸通過橋的每一筆存款,或者只是等待並提前運行下一筆巨額 ETH 存款。

Arbitrum 鏈的延遲收件箱用於通過網橋存入 ETH 或代幣,它使用初始化函數。 白帽黑客指出,“我們可以通過 depositEth() 函數劫持試圖橋接到 Arbitrum 的用戶的所有 ETH 存款。”

加密橋上的漏洞是最容易被利用的

八月初, 加密橋 Nomad 由於橋接攻擊是犯罪分子越來越普遍的策略,因此被利用了近 200 億美元。 僅今年一年就發生了許多攻擊,包括對重新啟動的 Axie Infinity 的 Ronin 橋的 600 億美元攻擊。

據報導,黑客 偷了 近 2 億美元 DEFI 今年前六個月的行業,根據 Chainalysis. 同時,也估計 朝鮮犯罪集團 已經從 DEFI 僅 2022 年的協議。

因此,該事件還引發了關於向開發人員和白帽黑客移交漏洞以暴露弱點的賞金數量的爭論。 一位使用 Twitter 句柄“smartcontracts.eth”的 Optimism 開發人員認為,考慮到故障的潛在影響,本可以給予最大獎勵,並補充說,“Arbitrum 橋錯誤是由不良初始化程序引起的關鍵橋錯誤 #3,如果我們需要另一個理由來擺脫初始化器。 驚訝的 Arbitrum 只支付了 400 ETH,而不是 [the] 最大賞金。”

該博客強調,收件箱合同中記錄的最重要的存款是 168,000 ETH(接近 250 億美元),24 小時內的總存款從 ~1000 到 ~5000 ETH 不等,暴露了潛在的地毯拉動或黑客攻擊的程度。

免責聲明

我們網站上包含的所有信息均出於善意發布,僅供一般參考。 讀者對我們網站上的信息採取的任何措施均完全自擔風險。

資料來源:https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/