Көпірді қосудағы пайдалану ақауы Ethereum және Төрелік Nitro-ны анонимді әзірлеуші криптоэкожүйедегі тағы бір ірі криптографиялық бұзудан аулақ болып ашты.
Ақ қалпақ хакері, riptide, Ethereum масштабтау шешіміндегі Arbitrum сыни қатені анықтау арқылы 400 ETH сыйақысын талап етті, ол кез келген хакерге Layer1 және Layer2 көпірі арасындағы барлық кіріс депозиттерін ұрлауға мүмкіндік бере алады.
Бұзушылықты пайдаланудың орнына, этикалық хакер атап өтті: «Менің қазіргі қызығушылығым осы жобаларды әзірлеушілер үшін күрделілікке байланысты және қазіргі «бал құмырасы» құрылымына байланысты тәуекелге ұшыраған қаражаттың айтарлықтай көлеміне байланысты кросс-тізбектік аренада. көпірді іске асырудың көпшілігі».
Этикалық ақ қалпақ хакері тағы бір миллиондаған долларлық эксплуатацияны бұрып жіберді
Riptide блог жазбасында Arbitrum Nitro іске қосылғанын білетінін және оның сәттілігін тексеру үшін жаңартуды бақылауға шешім қабылдағанын атап өтті. Дегенмен, тапқаннан кейін қауіпсіздік Этикалық хакер ұзақ уақыт бойы анықталмай қалу үшін ірі ETH депозиттерін іріктеп нысанаға алуға, көпір арқылы өтетін әрбір депозитті өшіруге немесе жай ғана күтіп, келесі жаппай ETH депозитін іске қосуға жеткілікті уақыт бар екенін атап өтті.
Arbitrum тізбегінің кешіктірілген кіріс жәшігі, ол ETH немесе токендерді көпір арқылы енгізу үшін пайдаланылады, инициализатор функциясын пайдаланады. Ақ қалпақ хакер «біз депозитEth() функциясы арқылы Арбитрумға көпір жасауға әрекеттенген пайдаланушылардан барлық кіріс ETH депозиттерін ұрлай аламыз» деп атап өтті.
Криптографиялық көпірлердегі осалдықтар ең көп пайдаланылады
Тамыздың басында, криптокөпірі Nomad 200 миллион долларға жуық сомаға пайдаланылды, өйткені көпір шабуылдары қылмыскерлер үшін кең таралған тактика болып табылады. Тек осы жылдың өзінде көптеген шабуылдар болды, соның ішінде Axie Infinity-тің қайта іске қосылған Ронин көпіріне 600 миллион долларлық шабуыл.
Хакерлер хабарлаған ұрлап кеткен 2 млрд долларға жуық Defi сәйкес ағымдағы жылдың алғашқы алты айында өнеркәсіп Chainalysis. Сонымен қатар, бұл да бағаланады Солтүстік Кореяның қылмыстық топтары қазірдің өзінде 1 миллиард долларды криптовалютадан алды Defi тек 2022 жылы хаттамалар.
Сонымен қатар, оқиға әлсіз жақтарды ашқаны үшін әзірлеушілер мен ақ қалпақ хакерлеріне берілетін сыйақылардың саны туралы пікірталас тудырды. «Smartcontracts.eth» Twitter тұтқасын пайдаланатын Optimism әзірлеушісі ақаудың ықтимал әсерін ескере отырып, ең жоғары сыйақы берілуі мүмкін екенін дәлелдеп, «Төрелік көпір қатесі - нашар инициализаторлардан туындаған №3 көпір қатесі, егер бізге инициализаторлардан құтылу үшін басқа себеп қажет болса. Таң қалдырған арбитрум тек 400 ETH төледі, бірақ берілген максималды сыйақы емес».
Блог кіріс жәшігіндегі келісімшартта жазылған ең маңызды депозит 168,000 250 ETH (24 миллион долларға жуық) болғанын, 1000 сағат ішінде жалпы депозиттер ~ 5000-нан ~ XNUMX ETH-ге дейін ауытқып, кілемді тарту немесе бұзу мүмкіндігін көрсететінін атап өтті.
Жауапкершіліктен бас тарту
Біздің веб-сайтта қамтылған барлық ақпарат адал ниетпен және жалпы ақпараттандыру мақсатында ғана жарияланады. Оқырман біздің веб-сайтымыздағы ақпаратты қабылдаған кез-келген іс-әрекет қатерлі түрде өздеріне байланысты.
Дереккөз: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/