Kesalahan yang dapat dieksploitasi di jembatan penghubung Ethereum dan arbitrase Nitro diungkapkan oleh pengembang anonim, menghindari peretasan kripto besar lainnya di ekosistem kripto.
Peretas topi putih, riptide, mengklaim hadiah 400 ETH dengan mengungkapkan bug kritis pada solusi penskalaan Ethereum Arbitrum yang dapat memungkinkan peretas mana pun untuk mencuri semua simpanan yang masuk antara jembatan Layer1 dan Layer2.
Alih-alih mengeksploitasi pelanggaran, peretas etis mencatat, “Ketertarikan saya saat ini adalah dalam arena lintas rantai karena kompleksitas yang terlibat untuk pengembang proyek ini dan sejumlah besar dana yang berisiko karena struktur 'honeypot' saat ini. sebagian besar implementasi jembatan.”
Peretas topi putih yang etis mengalihkan eksploitasi jutaan dolar lainnya
Riptide mencatat dalam posting blog bahwa dia tahu Arbitrum Nitro diluncurkan dan memutuskan untuk mengawasi peningkatan untuk memeriksa keberhasilannya. Namun, setelah menemukan keamanan pelanggaran, peretas etis mencatat ada cukup waktu untuk secara selektif menargetkan simpanan ETH besar agar tetap tidak terdeteksi untuk periode yang lebih lama, menyedot setiap setoran yang melewati jembatan, atau hanya menunggu dan menjalankan setoran ETH besar-besaran berikutnya.
Kotak Masuk Tertunda rantai arbitrase, yang digunakan untuk menyimpan ETH atau token melalui jembatan, menggunakan fungsi penginisialisasi. Peretas topi putih mencatat bahwa “kami dapat membajak semua deposit ETH yang masuk dari pengguna yang mencoba menjembatani ke Arbitrum melalui fungsi depositEth().”
Kerentanan pada jembatan kripto adalah yang paling dieksploitasi
Sebelumnya pada bulan Agustus, jembatan crypto Nomad dieksploitasi untuk hampir $200 juta karena serangan jembatan adalah taktik yang semakin umum untuk penjahat. Banyak serangan telah terjadi tahun ini saja, termasuk serangan senilai $600 juta di jembatan Ronin Axie Infinity yang diluncurkan kembali.
Peretas dilaporkan mencuri hampir $2 miliar dari Defi industri selama enam bulan pertama tahun ini, menurut Rantai. Sementara itu, diperkirakan juga bahwa Kelompok kriminal Korea Utara sudah mengambil $ 1 miliar dalam cryptocurrency dari Defi protokol pada tahun 2022 saja.
Dengan itu, insiden tersebut juga telah memulai perdebatan seputar jumlah bounty yang diserahkan kepada pengembang dan peretas topi putih karena mengungkap kelemahan. Pengembang Optimism, yang menggunakan pegangan Twitter 'smartcontracts.eth,' berpendapat bahwa mengingat potensi dampak kesalahan, hadiah maksimum dapat diberikan, menambahkan, “Bug jembatan Arbitrum adalah bug jembatan kritis #3 yang disebabkan oleh inisialisasi yang buruk, jika kami membutuhkan alasan lain untuk menyingkirkan inisialisasi. Arbitrum yang terkejut hanya membayar 400 ETH dan bukan hadiah maksimum yang diberikan.”
Blog tersebut menyoroti bahwa setoran paling signifikan yang tercatat pada kontrak kotak masuk adalah 168,000 ETH (hampir $250 juta), dengan total setoran dalam 24 jam mulai dari ~1000 hingga ~5000 ETH, memperlihatkan tingkat potensi tarikan karpet atau peretasan.
Penolakan tanggung jawab
Semua informasi yang terkandung di situs web kami diterbitkan dengan itikad baik dan hanya untuk tujuan informasi umum. Tindakan apa pun yang dilakukan pembaca atas informasi yang ditemukan di situs web kami sepenuhnya merupakan risiko mereka sendiri.
Sumber: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/