ექსპლუატირებადი ხარვეზი დამაკავშირებელ ხიდში Ethereum მდე არბიტრაჟი Nitro გამოავლინა ანონიმურმა დეველოპერმა, რომელიც თავიდან აიცილა კრიპტო ეკოსისტემაში კიდევ ერთი მნიშვნელოვანი კრიპტო ჰაკი.
თეთრი ქუდის ჰაკერმა, რიპტიდმა, მოითხოვა 400 ETH სიკეთე Ethereum სკალირების გადაწყვეტაზე Arbitrum-ის კრიტიკული ხარვეზის გამოვლენით, რომელიც ნებისმიერ ჰაკერს შეეძლო მოეპარა Layer1 და Layer2 ხიდებს შორის ყველა შემომავალი დეპოზიტი.
დარღვევის გამოყენების ნაცვლად, ეთიკურმა ჰაკერმა აღნიშნა: „ჩემი ამჟამინდელი ინტერესი არის ჯვარედინი არენაზე, ამ პროექტების შემქმნელებისთვის ჩართული სირთულის გამო და რისკის ქვეშ მყოფი სახსრების მნიშვნელოვანი ოდენობით, არსებული „honeypot“ სტრუქტურის გამო. ხიდის განხორციელების უმეტესობა.
ეთიკური თეთრი ქუდის ჰაკერი სხვა მრავალმილიონდოლარიან ექსპლუატაციას ახორციელებს
რიპტიდმა ბლოგპოსტში აღნიშნა, რომ მან იცოდა, რომ Arbitrum Nitro ამუშავებდა და გადაწყვიტა, თვალყური ადევნებდა განახლებას მისი წარმატების შესამოწმებლად. თუმცა, პოვნის შემდეგ უსაფრთხოების ეთიკურმა ჰაკერმა აღნიშნა, რომ საკმარისი დრო იყო იმისათვის, რომ შერჩევით მიზანმიმართულიყო დიდი ETH დეპოზიტები, რათა შეუმჩნეველი დარჩეს უფრო ხანგრძლივი პერიოდის განმავლობაში, ამოიღონ ყოველი დეპოზიტი, რომელიც გადის ხიდზე, ან უბრალოდ დაველოდოთ და გაუშვათ შემდეგი მასიური ETH დეპოზიტი.
Arbitrum ჯაჭვის დაგვიანებული შემომავალი, რომელიც გამოიყენება ETH ან ტოკენების შესანახად ხიდის მეშვეობით, იყენებს ინიციალიზაციის ფუნქციას. თეთრი ქუდის ჰაკერმა აღნიშნა, რომ „ჩვენ შეგვიძლია მოვიპაროთ ყველა შემომავალი ETH დეპოზიტი მომხმარებლებისგან, რომლებიც ცდილობენ არბიტრამზე გადახტომას დეპოზიტის Eth() ფუნქციის მეშვეობით“.
კრიპტო ხიდების დაუცველობა ყველაზე მეტად ექსპლუატირებულია
აგვისტოს დასაწყისში, კრიპტო ხიდი Nomad გამოიყენეს თითქმის 200 მილიონ დოლარად, რადგან ხიდებზე თავდასხმები კრიმინალებისთვის სულ უფრო გავრცელებული ტაქტიკაა. მრავალი თავდასხმა მოხდა მხოლოდ წელს, მათ შორის 600 მილიონი დოლარის შეტევა Axie Infinity-ის რონინის ხიდზე.
გავრცელებული ინფორმაციით, ჰაკერები მოიპარეს თითქმის 2 მილიარდი დოლარიდან Defi მრეწველობის მიხედვით, მიმდინარე წლის პირველი ექვსი თვის განმავლობაში ჭინჭრის ციება. იმავდროულად, ასევე სავარაუდოა, რომ ჩრდილოეთ კორეის კრიმინალური ჯგუფები უკვე აიღო 1 მილიარდი დოლარი კრიპტოვალუტაში Defi პროტოკოლები მხოლოდ 2022 წელს.
ამასთან, ინციდენტმა ასევე დაიწყო დებატები დეველოპერებისთვის და თეთრი ქუდის ჰაკერებისთვის გადაცემული ბონუსების შესახებ სისუსტეების გამოვლენისთვის. ოპტიმიზმის დეველოპერი, რომელიც იყენებს Twitter-ის სახელურს 'smartcontracts.eth', ამტკიცებდა, რომ შეცდომის პოტენციური ზემოქმედების გათვალისწინებით, მაქსიმალური ჯილდო შეიძლებოდა მიენიჭებინათ და დასძინა, რომ "Arbitrum bridge bug არის კრიტიკული ხიდის შეცდომა #3, გამოწვეული ცუდი ინიციალიზატორებით. იმ შემთხვევაში, თუ დაგვჭირდა სხვა მიზეზი ინიციალატორების მოსაშორებლად. გაკვირვებულმა Arbitrum-მა გადაიხადა მხოლოდ 400 ETH და არა მოცემული [მაქსიმალური] ბონუსები.”
ბლოგმა ხაზგასმით აღნიშნა, რომ შემოსულების კონტრაქტში დაფიქსირებული ყველაზე მნიშვნელოვანი დეპოზიტი იყო 168,000 ETH (დაახლოებით $250 მილიონი), ჯამური დეპოზიტები 24 საათში მერყეობს ~1000-დან ~5000 ETH-მდე, რაც გამოავლენს ხალიჩის პოტენციურ გაყვანას ან გატეხვას.
პასუხისმგებლობის შეზღუდვის განაცხადი
ჩვენს ვებგვერდზე განთავსებული ყველა ინფორმაცია კეთილსინდისიერად ქვეყნდება და მხოლოდ ზოგადი ინფორმაციის მისაღებად. ნებისმიერი ქმედება, რომელიც მკითხველმა განახორციელებს ჩვენს ვებგვერდზე განთავსებულ ინფორმაციასთან დაკავშირებით, მკაცრად ემუქრება მათ რისკს.
წყარო: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/