Los detalles surgieron esta mañana sobre una vulnerabilidad y una recompensa pagada por Arbitrum. El exploit parcheado podría haber comprometido más de $ 250 millones.
La vulnerabilidad fue descubierta por el cazarrecompensas de solidez seudónimo "0xriptide". Podría haber afectado a cualquier usuario que intentara unir fondos de Ethereum a Arbitrum Nitro, dijo 0xriptide.
Arbitrum pagó a 0xriptide 400 ETH (alrededor de $520,000) como compensación por alertarlo sobre la vulnerabilidad.
0xriptide's el día a día se compone de examinar ImmuneFi, una plataforma de recompensas por errores que ha evitado ataques de más de $ 20 mil millones. Últimamente, su enfoque principal se ha centrado en prevenir explotaciones entre cadenas, ya que representan una cantidad considerablemente mayor de fondos en riesgo debido a la estructura de "honeypot" de la mayoría de los protocolos de puente, dijo en el informe.
Su búsqueda inicial del exploit Arbitrum comenzó hace unas semanas antes de la actualización de Arbitrum Nitro. Tras su investigación inicial, encontró una vulnerabilidad en la que el contrato puente podía aceptar depósitos, a pesar de que el contrato se había inicializado previamente.
0xriptide dijo,
“Cuando tropiezas con an variable de dirección no inicializada en Solidity: siempre debe tomarse un momento para hacer una pausa e investigar más porque nunca se sabe si se dejó sin inicializar a propósito o por accidente."
El puente explotar
Después de investigar la dirección no inicializada, 0xriptide descubrió que un pirata informático podría establecer su propia dirección como puente, imitando el contrato real, y robar todos los depósitos ETH entrantes de Etheruem a Arbitrum Nitro.
El pirata informático habría tenido la flexibilidad de apuntar a depósitos ETH más grandes para ocultar sus acciones, o comenzar un ataque tipo guerrilla y desviar todos los fondos que ingresan.
El depósito más grande durante el período en que podría haber ocurrido el exploit fue de aproximadamente 168,000 250 ETH, o $24 millones. El promedio de depósitos en cualquier período de 1,000 horas en el que se podría haber explotado la vulnerabilidad fue de 5,000 a XNUMX ETH.
© 2022 The Block Crypto, Inc. Todos los derechos reservados. Este artículo se proporciona sólo para fines informativos. No se ofrece ni pretende utilizarse como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
sobre el autor
Mike es un reportero que cubre los ecosistemas de blockchain y se especializa en pruebas de conocimiento cero, privacidad e identificación digital autónoma. Antes de unirse a The Block, Mike trabajó con Circle, Blocknative y varios protocolos DeFi en crecimiento y estrategia.
Fuente: https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss