جزئیات یک آسیب پذیری و جایزه پرداخت شده توسط آربیتروم صبح امروز اعلام شد. این اکسپلویت اصلاح شده می توانست بیش از 250 میلیون دلار به خطر بیاندازد.
این آسیبپذیری توسط شکارچی با نام مستعار solidity bounty "0xriptide" کشف شد. 0xriptide میگوید، این میتواند بر هر کاربری که تلاش میکرد پول را از Ethereum به Arbitrum Nitro متصل کند، تأثیر بگذارد.
Arbitrum 0xriptide 400 ETH (حدود 520,000 دلار) را به عنوان غرامت برای هشدار دادن به آسیب پذیری پرداخت کرده است.
0xriptide's روز به روز شامل بررسی ImmuneFi است، یک پلتفرم جایزه باگ که از هک بیش از 20 میلیارد دلار جلوگیری کرده است. او در ادامه گفت: تمرکز اصلی او اخیراً بر جلوگیری از سوء استفادههای زنجیرهای متقاطع متمرکز شده است، زیرا به دلیل ساختار "honeypot" بیشتر پروتکلهای پل، حجم قابل توجهی از سرمایه را در معرض خطر قرار میدهند. گزارش.
جستجوی اولیه او برای اکسپلویت Arbitrum چند هفته پیش قبل از ارتقاء Arbitrum Nitro آغاز شد. در تحقیقات اولیه، او آسیب پذیری پیدا کرد که در آن قرارداد پل می توانست سپرده ها را بپذیرد، حتی اگر قرارداد قبلاً اولیه شده بود.
0xriptide گفت،
«وقتی به طور تصادفی به شما برخورد کرد an متغیر آدرس بدون مقدار اولیه در Solidity - همیشه باید یک لحظه مکث کنید و بیشتر تحقیق کنید زیرا هرگز نمی دانید که آیا عمداً بدون مقدار اولیه رها شده است یا تصادفی."
پل بهره برداری
0xriptide پس از کاوش در آدرس اولیه، متوجه شد که یک هکر میتواند آدرس خود را بهعنوان پل تنظیم کند، با تقلید از قرارداد واقعی، و تمام سپردههای ETH ورودی از Etheruem به Arbitrum Nitro را بدزدد.
هکر میتوانست این انعطافپذیری را داشته باشد که یا سپردههای بزرگتر ETH را هدف قرار دهد تا اقدامات آنها را پنهان کند، یا حملهای از نوع چریکی را آغاز کند و تمام سرمایههای ورودی را از بین ببرد.
بزرگترین سپرده در دورهای که بهرهبرداری ممکن بود رخ دهد، تقریباً 168,000 ETH یا 250 میلیون دلار بود. میانگین سپردهها در هر دوره زمانی 24 ساعته که میتوانست از آسیبپذیری مورد سوء استفاده قرار گیرد، از 1,000 تا 5,000 ETH بوده است.
© 2022 کلیه حقوق این سایت متعلق به Block Crypto ، Inc. این مقاله فقط برای مقاصد اطلاعاتی ارائه شده است. این پیشنهاد یا در نظر گرفته نشده است که به عنوان مشاوره قانونی ، مالیاتی ، سرمایه گذاری ، مالی یا سایر موارد استفاده شود.
درباره نویسنده
مایک خبرنگاری است که اکوسیستمهای بلاک چین را پوشش میدهد و در اثبات دانش صفر، حفظ حریم خصوصی و شناسایی دیجیتال مستقل تخصص دارد. قبل از پیوستن به The Block، مایک با Circle، Blocknative و پروتکلهای مختلف DeFi در زمینه رشد و استراتژی کار میکرد.
منبع: https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss