Os detalhes surgiram esta manhã de uma vulnerabilidade e recompensa paga pela Arbitrum. A exploração corrigida pode ter comprometido mais de US$ 250 milhões.
A vulnerabilidade foi descoberta pelo caçador de recompensas de solidity pseudônimo “0xriptide”. Isso poderia ter afetado qualquer usuário que tentasse transferir fundos do Ethereum para o Arbitrum Nitro, disse 0xriptide.
A Arbitrum pagou 0xriptide 400 ETH (cerca de US$ 520,000) como compensação por alertá-la sobre a vulnerabilidade.
0xriptide's o dia-a-dia é composto por vasculhar o ImmuneFi, uma plataforma de recompensas de bugs que evitou hacks de mais de US$ 20 bilhões. Seu foco principal ultimamente tem sido centrado na prevenção de explorações de cadeia cruzada, pois elas representam uma quantidade consideravelmente maior de fundos em risco devido à estrutura “honeypot” da maioria dos protocolos de ponte, disse ele em o relatório.
Sua busca inicial pelo exploit Arbitrum começou há algumas semanas antes da atualização do Arbitrum Nitro. Após sua investigação inicial, ele encontrou uma vulnerabilidade em que o contrato de ponte era capaz de aceitar depósitos, mesmo que o contrato tenha sido inicializado anteriormente.
0xriptide disse,
“Quando você tropeçar an variável de endereço não inicializada no Solidity — você deve sempre fazer uma pausa e investigar mais porque você nunca sabe se ela foi intencionalmente deixada não inicializada ou por acidente."
A Ponte explorar
Depois de investigar o endereço não inicializado, 0xriptide descobriu que um hacker seria capaz de definir seu próprio endereço como a ponte, imitando o contrato real, e roubar todos os depósitos de ETH de Etheruem para Arbitrum Nitro.
O hacker teria a flexibilidade de mirar em depósitos ETH maiores para obscurecer suas ações ou iniciar um tipo de ataque de guerrilha e desviar todos os fundos recebidos.
O maior depósito durante o período em que a exploração poderia ter ocorrido foi de aproximadamente 168,000 ETH, ou US$ 250 milhões. A média de depósitos em qualquer período de 24 horas em que a vulnerabilidade poderia ter sido explorada foi de 1,000 a 5,000 ETH.
© 2022 The Block Crypto, Inc. Todos os direitos reservados. Este artigo é fornecido apenas para fins informativos. Não é oferecido ou deve ser usado como aconselhamento jurídico, tributário, de investimento, financeiro ou outro.
Sobre o autor
Mike é um repórter que cobre ecossistemas de blockchain, especializado em provas de conhecimento zero, privacidade e identificação digital auto-soberana. Antes de ingressar no The Block, Mike trabalhou com o Circle, Blocknative e vários protocolos DeFi sobre crescimento e estratégia.
Fonte: https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss