Une faille exploitable dans le pont reliant Ethereum ainsi que Arbitre Nitro a été révélé par un développeur anonyme, évitant un autre piratage crypto majeur dans l'écosystème crypto.
Le pirate au chapeau blanc, riptide, a réclamé une prime de 400 ETH en révélant un bogue critique sur la solution de mise à l'échelle Ethereum Arbitrum qui aurait pu permettre à n'importe quel pirate de voler tous les dépôts entrants entre le pont Layer1 et Layer2.
Au lieu d'exploiter la brèche, le pirate éthique a noté: «Mon intérêt actuel se situe dans l'arène inter-chaînes en raison de la complexité impliquée pour les développeurs de ces projets et de la quantité importante de fonds à risque en raison de la structure actuelle de« pot de miel »de la plupart des implémentations de ponts.
Un pirate informatique éthique détourne un autre exploit de plusieurs millions de dollars
Riptide a noté dans un article de blog qu'il savait qu'Arbitrum Nitro était en cours de lancement et a décidé de garder un œil sur la mise à niveau pour vérifier son succès. Cependant, après avoir trouvé le sécurité violation, le pirate éthique a noté qu'il y avait suffisamment de temps pour cibler de manière sélective les grands dépôts d'ETH pour qu'ils restent non détectés pendant une période plus longue, siphonner chaque dépôt qui traverse le pont, ou simplement attendre et lancer le prochain dépôt massif d'ETH.
La boîte de réception différée de la chaîne Arbitrum, qui est utilisée pour déposer des ETH ou des jetons via un pont, utilise une fonction d'initialisation. Le pirate au chapeau blanc a noté que "nous pouvons détourner tous les dépôts ETH entrants des utilisateurs qui tentent de se connecter à Arbitrum via la fonction de dépôtEth()".
Les vulnérabilités sur les ponts cryptographiques sont les plus exploitées
Plus tôt en août, pont crypto nomade a été exploité pour près de 200 millions de dollars, car les attaques de pont sont une tactique de plus en plus courante pour les criminels. De nombreuses attaques ont eu lieu cette année seulement, y compris l'attaque de 600 millions de dollars contre le pont Ronin relancé d'Axie Infinity.
Les pirates auraient a volé près de 2 milliards de dollars du DeFi l'industrie au cours des six premiers mois de cette année, selon Réduction de la chaîne. En attendant, on estime également que Groupes criminels nord-coréens a déjà pris 1 milliard de dollars en crypto-monnaie de DeFi protocoles en 2022 seulement.
Avec cela, l'incident a également lancé un débat sur le nombre de primes remises aux développeurs et aux pirates informatiques pour avoir révélé leurs faiblesses. Un développeur d'Optimism, qui utilise le compte Twitter "smartcontracts.eth", a fait valoir qu'étant donné l'impact potentiel de la faute, la récompense maximale aurait pu être donnée, ajoutant : "Le bogue de pont Arbitrum est le bogue de pont critique #3 causé par de mauvais initialiseurs, au cas où nous aurions besoin d'une autre raison pour nous débarrasser des initialiseurs. Arbitrum surpris n'a payé que 400 ETH et non [la] prime maximale donnée.
Le blog a souligné que le dépôt le plus important enregistré sur le contrat de boîte de réception était de 168,000 250 ETH (près de 24 millions de dollars), avec des dépôts totaux en 1000 heures allant de ~ 5000 XNUMX à ~ XNUMX XNUMX ETH, exposant l'étendue d'un tirage ou d'un piratage potentiel.
Clause de non-responsabilité
Toutes les informations contenues sur notre site Web sont publiées de bonne foi et à des fins d'information générale uniquement. Toute action prise par le lecteur sur les informations présentes sur notre site Web est strictement à ses propres risques.
Source : https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/