Des détails sont apparus ce matin sur une vulnérabilité et une prime payée par Arbitrum. L'exploit corrigé aurait pu compromettre plus de 250 millions de dollars.
La vulnérabilité a été découverte par le chasseur de primes de solidité pseudonyme "0xriptide". Cela aurait pu affecter tout utilisateur qui aurait tenté de transférer des fonds d'Ethereum à Arbitrum Nitro, a déclaré 0xriptide.
Arbitrum a payé 0xriptide 400 ETH (environ 520,000 XNUMX $) en compensation pour l'avoir alerté de la vulnérabilité.
0xriptide au jour le jour consiste à parcourir ImmuneFi, une plate-forme de primes de bogues qui a empêché des piratages de plus de 20 milliards de dollars. Ces derniers temps, son objectif principal s'est concentré sur la prévention des exploits inter-chaînes, car ils posent un montant considérablement plus important de fonds à risque en raison de la structure «pot de miel» de la plupart des protocoles de pont, a-t-il déclaré dans le rapport.
Sa recherche initiale de l'exploit Arbitrum a commencé il y a quelques semaines avant la mise à niveau d'Arbitrum Nitro. Lors de son enquête initiale, il a trouvé une vulnérabilité où le contrat relais pouvait accepter des dépôts, même si le contrat avait été initialisé auparavant.
0xriptide a dit,
"Quand tu tombes sur an variable d'adresse non initialisée dans Solidity - vous devriez toujours prendre un moment pour faire une pause et enquêter plus avant car vous ne savez jamais si elle a été délibérément laissée non initialisée ou par accident. »
Le pont exploiter
Après avoir creusé dans l'adresse non initialisée, 0xriptide a découvert qu'un pirate pourrait définir sa propre adresse comme pont, imitant le contrat réel, et voler tous les dépôts ETH entrants d'Etheruem à Arbitrum Nitro.
Le pirate aurait eu la possibilité soit de cibler des dépôts ETH plus importants afin de masquer leurs actions, soit de lancer une attaque de type guérilla et de siphonner tous les fonds entrants.
Le dépôt le plus important au cours de la période où l'exploit aurait pu se produire était d'environ 168,000 250 ETH, soit 24 millions de dollars. Les dépôts moyens sur une période de 1,000 heures où la vulnérabilité aurait pu être exploitée se situaient entre 5,000 XNUMX et XNUMX XNUMX ETH.
© 2022 The Block Crypto, Inc. Tous droits réservés. Cet article est fourni à titre informatif seulement. Il n'est pas offert ou destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
A propos
Mike est un journaliste couvrant les écosystèmes de la blockchain, spécialisé dans les preuves à connaissance nulle, la confidentialité et l'identification numérique auto-souveraine. Avant de rejoindre The Block, Mike a travaillé avec Circle, Blocknative et divers protocoles DeFi sur la croissance et la stratégie.
Source : https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss