არბიტრუმის მიერ გადახდილი დაუცველობისა და სიკეთის დეტალები ამ დილით გაჩნდა. შეფუთულ ექსპლოიტს შეეძლო 250 მილიონ დოლარზე მეტი კომპრომეტირება მოეხდინა.
დაუცველობა აღმოაჩინა ფსევდონიმმა სოლიდურობაზე მონადირე „0xriptide“. ეს შეიძლება შეეხო ნებისმიერ მომხმარებელს, რომელიც ცდილობდა თანხების გადატანას Ethereum-დან Arbitrum Nitro-მდე, განაცხადა 0xriptide-მა.
Arbitrum-მა გადაიხადა 0xriptide 400 ETH (დაახლოებით $520,000), როგორც კომპენსაცია დაუცველობის შესახებ გაფრთხილებისთვის.
0xriptide's ყოველდღიურად მოიცავს ImmuneFi-ს, შეცდომების პრემიის პლატფორმას, რომელმაც თავიდან აიცილა 20 მილიარდ დოლარზე მეტი ჰაკინგი. მისი ძირითადი აქცენტი ბოლო დროს ორიენტირებულია ჯაჭვური ექსპლოიტების თავიდან აცილებაზე, რადგან ისინი ქმნიან საგრძნობლად დიდ თანხებს რისკის ქვეშ ხიდის პროტოკოლების უმეტესობის „honeypot“ სტრუქტურის გამო, თქვა მან. ანგარიში.
მისი თავდაპირველი ძიება Arbitrum-ის ექსპლუატაციისთვის დაიწყო რამდენიმე კვირის წინ Arbitrum Nitro-ს განახლების წინ. მისი თავდაპირველი გამოძიების შემდეგ მან აღმოაჩინა დაუცველობა, სადაც ხიდის კონტრაქტს შეეძლო დეპოზიტების მიღება, მიუხედავად იმისა, რომ კონტრაქტი ადრე იყო ინიციალიზებული.
0xriptide-მა თქვა,
„როცა წააწყდები an მისამართის არაინიციალიზებული ცვლადი Solidity-ში - თქვენ ყოველთვის უნდა დაუთმოთ ერთი წუთით დაპაუზება და შემდგომი გამოკვლევა, რადგან არასოდეს იცით, მიზანმიმართულად დარჩა თუ არა ინიციალირებული ან შემთხვევით.."
Ხიდი გამოყენებისათვის
არაინიციალიზებული მისამართის შესწავლის შემდეგ, 0xriptide-მა აღმოაჩინა, რომ ჰაკერს შეეძლება დააყენოს საკუთარი მისამართი, როგორც ხიდი, ფაქტობრივი კონტრაქტის მიბაძვით და მოიპაროს ყველა შემომავალი ETH დეპოზიტი Etheruem-დან Arbitrum Nitro-მდე.
ჰაკერს ექნებოდა მოქნილობა, მიემართა უფრო დიდი ETH დეპოზიტები, რათა დაეფარა მათი ქმედებები, ან დაეწყო პარტიზანული ტიპის თავდასხმა და ამოეღო ყველა შემოსული თანხა.
ყველაზე დიდი დეპოზიტი იმ პერიოდის განმავლობაში, როდესაც ექსპლუატაცია შეიძლებოდა მომხდარიყო, იყო დაახლოებით 168,000 ETH, ანუ $250 მილიონი. საშუალო დეპოზიტები ნებისმიერ 24-საათიან პერიოდში, როდესაც შესაძლებელი იყო დაუცველობის გამოყენება, იყო 1,000-დან 5,000 ETH-მდე.
© 2022 ბლოკი კრიპტო, Inc. ყველა უფლება დაცულია. ეს სტატია მოცემულია მხოლოდ ინფორმაციული მიზნებისთვის. იგი არ არის შემოთავაზებული ან გამიზნულია, როგორც სამართლებრივი, საგადასახადო, ინვესტიციის, ფინანსური ან სხვა რჩევების გამოყენება.
ავტორის შესახებ
მაიკი არის რეპორტიორი, რომელიც აშუქებს ბლოკჩეინის ეკოსისტემებს, რომელიც სპეციალიზირებულია ნულოვანი ცოდნის მტკიცებულებებში, კონფიდენციალურობასა და თვითმმართველობის სუვერენულ ციფრულ იდენტიფიკაციაში. The Block-ში გაწევრიანებამდე მაიკი მუშაობდა Circle, Blocknative და სხვადასხვა DeFi პროტოკოლებთან ზრდისა და სტრატეგიის შესახებ.
წყარო: https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss