Rincian muncul pagi ini tentang kerentanan dan hadiah yang dibayarkan oleh Arbitrum. Eksploitasi yang ditambal dapat membahayakan lebih dari $250 juta.
Kerentanan ini ditemukan oleh pemburu hadiah soliditas pseudonim “0xriptide.” Itu bisa mempengaruhi setiap pengguna yang mencoba menjembatani dana dari Ethereum ke Arbitrum Nitro, kata 0xriptide.
Arbitrum telah membayar 0xriptide 400 ETH (sekitar $520,000) sebagai kompensasi untuk memperingatkannya tentang kerentanan.
0xriptide's sehari-hari terdiri dari menjelajahi ImmuneFi, platform karunia bug yang telah mencegah peretasan lebih dari $20 miliar. Fokus utamanya akhir-akhir ini telah dipusatkan pada pencegahan eksploitasi lintas-rantai, karena mereka menimbulkan risiko jumlah dana yang jauh lebih besar karena struktur "honeypot" dari sebagian besar protokol jembatan, katanya dalam laporan.
Pencarian awalnya untuk eksploitasi Arbitrum dimulai beberapa minggu yang lalu menjelang peningkatan Arbitrum Nitro. Setelah penyelidikan awal, ia menemukan kerentanan di mana kontrak bridging dapat menerima setoran, meskipun kontrak diinisialisasi sebelumnya.
0xriptide berkata,
“Ketika Anda tersandung pada an variabel alamat yang tidak diinisialisasi di Solidity — Anda harus selalu meluangkan waktu untuk berhenti sejenak dan menyelidiki lebih lanjut karena Anda tidak pernah tahu apakah itu sengaja dibiarkan tidak diinisialisasi atau tidak sengaja."
Jembatan mengeksploitasi
Setelah menggali alamat yang tidak diinisialisasi, 0xriptide menemukan bahwa seorang peretas dapat menetapkan alamat mereka sendiri sebagai jembatan, meniru kontrak yang sebenarnya, dan mencuri semua deposit ETH yang masuk dari Etheruem ke Arbitrum Nitro.
Peretas akan memiliki fleksibilitas untuk menargetkan simpanan ETH yang lebih besar untuk mengaburkan tindakan mereka, atau memulai jenis serangan gerilya dan menyedot semua dana yang masuk.
Deposit terbesar selama periode ketika eksploitasi bisa terjadi adalah sekitar 168,000 ETH, atau $250 juta. Setoran rata-rata dalam periode waktu 24 jam ketika kerentanan dapat dieksploitasi berkisar antara 1,000 hingga 5,000 ETH.
© 2022 The Block Crypto, Inc. Semua Hak Dilindungi Undang-Undang. Artikel ini disediakan hanya untuk tujuan informasi. Itu tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, investasi, keuangan, atau lainnya.
Tentang Penulis
Mike adalah seorang reporter yang meliput ekosistem blockchain, yang berspesialisasi dalam bukti tanpa pengetahuan, privasi, dan identifikasi digital berdaulat sendiri. Sebelum bergabung dengan The Block, Mike bekerja dengan Circle, Blocknative, dan berbagai protokol DeFi tentang pertumbuhan dan strategi.
Sumber: https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss