Uma falha explorável na ponte de conexão Ethereum e arbitragem Nitro foi revelado por um desenvolvedor anônimo, evitando outro grande hack de criptografia no ecossistema de criptomoedas.
O hacker de chapéu branco, riptide, reivindicou uma recompensa de 400 ETH ao revelar um bug crítico na solução de dimensionamento Ethereum Arbitrum que poderia ter permitido que qualquer hacker roubasse todos os depósitos recebidos entre a ponte Layer1 e Layer2.
Em vez de explorar a violação, o hacker ético observou: “Meu interesse atual está na arena cross-chain devido à complexidade envolvida para os desenvolvedores desses projetos e a quantidade significativa de fundos em risco devido à atual estrutura 'honeypot' de a maioria das implementações de pontes.”
Hacker ético de chapéu branco desvia outro exploit multimilionário
Riptide observou em um post no blog que ele sabia que o Arbitrum Nitro estava sendo lançado e decidiu ficar de olho na atualização para verificar seu sucesso. No entanto, após encontrar o segurança violação, o hacker ético observou que havia tempo suficiente para direcionar seletivamente grandes depósitos de ETH para permanecer indetectável por um período mais longo, desviar todos os depósitos que passam pela ponte ou simplesmente esperar e executar o próximo depósito maciço de ETH.
A caixa de entrada atrasada da cadeia Arbitrum, que é usada para depositar ETH ou tokens por meio de uma ponte, usa uma função inicializadora. O hacker de chapéu branco observou que “podemos sequestrar todos os depósitos de ETH recebidos de usuários que tentam se conectar ao Arbitrum por meio da função depositEth()”.
Vulnerabilidades em pontes de criptografia são as mais exploradas
No início de agosto, ponte de criptografia nômade foi explorado por quase US$ 200 milhões, já que ataques de ponte são uma tática cada vez mais comum para criminosos. Numerosos ataques ocorreram somente este ano, incluindo o ataque de US$ 600 milhões na ponte Ronin relançada de Axie Infinity.
Hackers supostamente roubou quase US$ 2 bilhões do DeFi indústria durante os primeiros seis meses deste ano, de acordo com Chainalysis. Enquanto isso, estima-se também que grupos criminosos norte-coreanos já tirou US$ 1 bilhão em criptomoedas de DeFi protocolos somente em 2022.
Com isso, o incidente também iniciou um debate em torno do número de recompensas entregues aos desenvolvedores e hackers de chapéu branco por expor fraquezas. Um desenvolvedor do Optimism, que usa o identificador do Twitter 'smartcontracts.eth', argumentou que, dado o impacto potencial da falha, a recompensa máxima poderia ter sido dada, acrescentando: caso precisássemos de outro motivo para nos livrarmos dos inicializadores. A Surprised Arbitrum pagou apenas 3 ETH e não a recompensa máxima dada.”
O blog destacou que o depósito mais significativo registrado no contrato da caixa de entrada foi de 168,000 ETH (perto de US$ 250 milhões), com depósitos totais em 24 horas variando de ~ 1000 a ~ 5000 ETH, expondo a extensão de um possível puxão de tapete ou hack.
Aviso Legal
Todas as informações contidas em nosso site são publicadas de boa fé e apenas para fins de informação geral. Qualquer ação que o leitor tome com base nas informações contidas em nosso site é por sua própria conta e risco.
Fonte: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/