Heute Morgen wurden Details über eine Schwachstelle und ein von Arbitrum gezahltes Kopfgeld bekannt. Der gepatchte Exploit hätte mehr als 250 Millionen US-Dollar gefährden können.
Die Schwachstelle wurde vom pseudonymen Solidity-Kopfgeldjäger „0xriptide“ entdeckt. Es hätte jeden Benutzer betreffen können, der versucht hat, Gelder von Ethereum zu Arbitrum Nitro zu überbrücken, sagte 0xriptide.
Arbitrum hat 0xriptide 400 ETH (etwa 520,000 US-Dollar) als Entschädigung für die Warnung vor der Schwachstelle gezahlt.
0xriptide Tag für Tag besteht das Durchforsten von ImmuneFi, einer Bug-Bounty-Plattform, die Hacks im Wert von mehr als 20 Milliarden US-Dollar verhindert hat. Sein Hauptaugenmerk lag in letzter Zeit auf der Verhinderung von Cross-Chain-Exploits, da sie aufgrund der „Honeypot“-Struktur der meisten Bridge-Protokolle eine beträchtlich größere Menge an Geldern gefährden, sagte er in der Bericht.
Seine anfängliche Suche nach dem Arbitrum-Exploit begann vor einigen Wochen vor dem Arbitrum Nitro-Upgrade. Bei seiner ersten Untersuchung fand er eine Schwachstelle, bei der der Überbrückungsvertrag Einzahlungen akzeptieren konnte, obwohl der Vertrag zuvor initialisiert wurde.
0xriptide sagte,
„Wenn du darüber stolperst an nicht initialisierte Adressvariable in Solidity – Sie sollten sich immer einen Moment Zeit nehmen, um innezuhalten und weiter nachzuforschen, da Sie nie wissen, ob sie absichtlich nicht initialisiert wurde oder aus Versehen."
Die Brücke ausbeuten
Nachdem 0xriptide in die nicht initialisierte Adresse eingegraben hatte, stellte es fest, dass ein Hacker in der Lage wäre, seine eigene Adresse als Brücke festzulegen, den tatsächlichen Vertrag nachzuahmen, und alle eingehenden ETH-Einzahlungen von Etheruem zu Arbitrum Nitro zu stehlen.
Der Hacker hätte die Flexibilität gehabt, entweder auf größere ETH-Einlagen zu zielen, um ihre Aktionen zu verschleiern, oder einen Guerilla-Angriff zu starten und alle eingehenden Gelder abzuschöpfen.
Die größte Einzahlung während des Zeitraums, in dem der Exploit stattgefunden haben könnte, betrug ungefähr 168,000 ETH oder 250 Millionen US-Dollar. Die durchschnittlichen Einzahlungen in einem 24-Stunden-Zeitraum, in dem die Schwachstelle hätte ausgenutzt werden können, lagen zwischen 1,000 und 5,000 ETH.
© 2022 The Block Crypto, Inc. Alle Rechte vorbehalten. Dieser Artikel dient nur zu Informationszwecken. Es wird nicht als Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung angeboten oder verwendet.
Über den Autor
Mike ist ein Reporter für Blockchain-Ökosysteme, der sich auf Zero-Knowledge-Beweise, Datenschutz und selbstsouveräne digitale Identifizierung spezialisiert hat. Bevor er zu The Block kam, arbeitete Mike mit Circle, Blocknative und verschiedenen DeFi-Protokollen an Wachstum und Strategie.
Quelle: https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss