브리지 연결의 악용 가능한 결함 이더리움 와 중재 Nitro는 암호화 생태계에서 또 다른 주요 암호화 해킹을 피하면서 익명의 개발자에 의해 공개되었습니다.
화이트 해커인 riptide는 이더리움 확장 솔루션 Arbitrum에서 해커가 Layer400과 Layer1 브리지 사이에 들어오는 모든 예금을 훔칠 수 있는 치명적인 버그를 공개하여 2 ETH의 현상금을 주장했습니다.
윤리적인 해커는 침해를 악용하는 대신, “현재 관심은 이 프로젝트의 개발자와 관련된 복잡성과 현재 '허니팟' 구조로 인해 위험에 처한 상당한 양의 자금으로 인해 크로스체인 영역에 있습니다. 대부분의 브리지 구현"
윤리적인 화이트 햇 해커가 수백만 달러의 또 다른 익스플로잇을 우회합니다.
Riptide는 블로그 게시물에서 Arbitrum Nitro가 출시되고 있음을 알고 있으며 성공 여부를 확인하기 위해 업그레이드를 계속 주시하기로 결정했다고 언급했습니다. 그러나 발견한 후 보안 위반 시, 윤리적인 해커는 대규모 ETH 예금을 선택적으로 표적으로 삼아 더 오랜 기간 동안 탐지되지 않은 상태로 유지하거나, 브리지를 통과하는 모든 단일 예금을 사이펀하거나, 단순히 기다렸다가 다음 대규모 ETH 예금을 선점할 수 있는 충분한 시간이 있다고 지적했습니다.
브리지를 통해 ETH나 토큰을 예치하는 데 사용되는 Arbitrum 체인의 Delayed Inbox는 초기화 기능을 사용합니다. 화이트 햇 해커는 "depositEth() 함수를 통해 Arbitrum에 브리지를 시도하는 사용자로부터 들어오는 모든 ETH 예금을 하이재킹할 수 있습니다."라고 언급했습니다.
암호화 브리지의 취약점이 가장 많이 악용됩니다.
8 월 초, 크립토 브릿지 유목민 브리지 공격이 범죄자들에게 점점 더 보편적인 전술이기 때문에 거의 200억 달러에 악용되었습니다. Axie Infinity의 재출시된 Ronin 브리지에 대한 600억 달러의 공격을 포함하여 올해에만 수많은 공격이 발생했습니다.
해커 보도에 따르면 스톨 약 2억 달러에서 DeFi 올해 첫 XNUMX개월 동안 업계에 따르면 연쇄 반응. 한편, 다음과 같이 추정된다. 북한의 범죄집단 이미 1억 달러의 암호화폐를 DeFi 2022년에만 프로토콜.
이와 함께 이 사건은 또한 약점을 노출한 개발자와 화이트 해커에게 넘겨진 현상금의 수에 대한 논쟁을 시작했습니다. 트위터 핸들 'smartcontracts.eth'를 사용하는 Optimism 개발자는 결함의 잠재적인 영향을 감안할 때 최대 보상이 주어질 수 있었다고 주장하며 “Arbitrum 브리지 버그는 잘못된 초기화 프로그램으로 인한 치명적인 브리지 버그 3이며, 이니셜라이저를 제거할 또 다른 이유가 필요한 경우를 대비하여. Surprised Arbitrum은 최대 현상금이 아닌 400 ETH만 지불했습니다.”
블로그는 받은 편지함 계약에 기록된 가장 중요한 보증금이 168,000 ETH(약 250억 24천만 달러)였으며, 1000시간 동안의 총 보증금은 ~5000에서 ~XNUMX ETH 범위로 잠재적인 러그 풀(rug pull) 또는 해킹의 범위를 노출한다고 강조했습니다.
책임 부인
당사 웹 사이트에 포함 된 모든 정보는 선의로 일반 정보 목적으로 만 게시됩니다. 독자가 당사 웹 사이트에있는 정보에 대해 취하는 모든 조치는 전적으로 자신의 책임입니다.
출처: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/