Arbitrum спасли от крупного взлома

Белый хакер riptide обнаружил серьезную уязвимость в решении для масштабирования Ethereum Arbitrum. Лазейка давала злоумышленникам доступ к деньгам, которые идут через мост между основной сетью Ethereum и решением второго уровня (Layer 2) Arbitrum. За найденную ошибку хакер потребовал награду в размере 400 ETH.

Arbitrum спасли от крупного взлома

Riptide мог воспользоваться уязвимостью и похитить средства пользователей Arbitrum, но вместо этого он заявил:

«Я интересуюсь кросс-чейн решениями, потому что они сложные в разработке, текущая структура большинства мостов — лакомый кусок для хакеров, поэтому много денег в зоне риска».

Белый хакер предотвратил взлом на миллионы долларов

Riptide отметил, что он знал о запуске обновления Arbitrum – Arbitrum Nitro – и решил проверить, насколько оно удачное.

Хакер поделился, что у него было достаточно времени, чтобы выборочно нацелиться на крупные депозиты ETH и, долго оставаясь незамеченным, забирать себе все проходящие через мост депозиты.

Delayed Inbox, используемый Arbitrum для внесения ETH или иных токенов через мост, применяет для этого процесса функцию инициализатора. По словам хакера, можно перехватить все поступления ETH от пользователей, которые пытаются подключиться к Arbitrum с помощью функции depositEth()».

Криптомосты подвергаются частым взломам

В августе 2022 года злоумышленник взломал криптомост Nomad и похитил почти $200 млн — атаки на мосты становятся популярно тактикой для преступников. Только в этом году произошло множество кибератак, в том числе был взломан мост Ronin от Axie Infinity, в результате чего хакерам удалось украсть более $600 млн.

По данным Chainalysis, хакеры похитили почти $2 млн из DeFi-индустрии за первые шесть месяцев этого года. Также было подсчитано, что северокорейские преступные группировки уже успели украсть $1 млрд в криптовалюте из DeFi-протоколов за 2022 год.

Споры о вознаграждениях для белых хакеров

Инцидент с riptide также положил начало дебатам о сумме вознаграждений, которую нужно выдавать разработчикам и хакерам за найденные уязвимости.

Разработчик Optimism под ником smartcontracts.eth заявил, что за обнаруженную ошибку в Arbitrum хакер мог получить максимально возможное вознаграждение, ведь потенциальный ущерб от уязвимости оценивается в сотни миллионов долларов. Smartcontracts.eth также добавил:

«Уязвимость моста Arbitrum – это критическая ошибка моста #3, вызванная плохими инициализаторами. Удивлен, что Arbitrum выплатил хакеру только 400 ETH, а не [максимальную] награду».

Arbitrum спасли от крупного взлома

Riptide также подчеркивает, что самый большой депозит, зарегистрированный в контракте Inbox, составил 168 000 ETH (около $250 млн), при этом общий объем депозитов за 24 часа варьировался от ~ 1000 до ~ 5000 ETH, что показывает, насколько опустошающим мог бы быть взлом для Arbitrum и его пользователей.

Добавить комментарий