Կամուրջի միացման համար շահագործվող անսարքություն Ethereum և Արբիտրում Nitro-ն բացահայտվել է անանուն ծրագրավորողի կողմից՝ խուսափելով կրիպտոէկոհամակարգում մեկ այլ խոշոր կրիպտո կոտրվածքից:
Սպիտակ գլխարկի հաքերը՝ riptide-ը, պահանջել է 400 ETH պարգև՝ բացահայտելով Ethereum մասշտաբային լուծման Arbitrum-ի կարևոր վրիպակ, որը կարող էր թույլ տալ ցանկացած հաքերի գողանալ Layer1 և Layer2 կամրջի միջև եղած բոլոր մուտքային ավանդները:
Խախտումն օգտագործելու փոխարեն էթիկ հաքերը նշել է. «Իմ ներկա հետաքրքրությունը կապված է շղթայական հարթության վրա՝ կապված այս նախագծերի մշակողների բարդության և ֆինանսական միջոցների զգալի քանակի հետ՝ ներկայիս «honeypot» կառուցվածքի պատճառով: կամուրջների իրականացման մեծ մասը»:
Բարոյական սպիտակ գլխարկների հաքերները շեղում են մեկ այլ բազմամիլիոնանոց շահագործում
Riptide-ը բլոգի գրառման մեջ նշել է, որ գիտեր, որ Arbitrum Nitro-ն գործարկվում է և որոշել է հետևել արդիականացմանը՝ ստուգելու դրա հաջողությունը: Այնուամենայնիվ, գտնելուց հետո անվտանգություն Էթիկական հաքերը նշել է, որ բավական ժամանակ կա՝ ընտրողաբար թիրախավորելու մեծ ETH ավանդները, որպեսզի չհայտնաբերվեն ավելի երկար ժամանակ, կամուրջով անցնող յուրաքանչյուր ավանդ կամ պարզապես սպասեք և գործարկեք հաջորդ զանգվածային ETH ավանդը:
Arbitrum շղթայի հետաձգված մուտքի արկղը, որն օգտագործվում է կամրջի միջոցով ETH-ի կամ նշանների ավանդադրման համար, օգտագործում է սկզբնավորիչ ֆունկցիա: Սպիտակ գլխարկի հաքերը նշել է, որ «մենք կարող ենք առևանգել բոլոր մուտքային ETH ավանդներն օգտվողներից, ովքեր փորձում են կամրջել Արբիտրումին՝ depozitEth() ֆունկցիայի միջոցով»:
Կրիպտո կամուրջների խոցելիությունը ամենաշատն է շահագործվում
Ավելի վաղ՝ օգոստոսին, կրիպտո կամուրջ Nomad շահագործվել է մոտ 200 միլիոն դոլարով, քանի որ կամուրջների վրա հարձակումները հանցագործների համար ավելի ու ավելի տարածված մարտավարություն են: Միայն այս տարի բազմաթիվ հարձակումներ են տեղի ունեցել, այդ թվում՝ 600 միլիոն դոլար արժողությամբ հարձակումը Axie Infinity-ի վերագործարկված Ronin կամրջի վրա:
Հաղորդվում է, որ հաքերները գողացան -ից մոտ 2 միլիարդ դոլար defi արդյունաբերությունն այս տարվա առաջին վեց ամիսների ընթացքում, ըստ Chainalysis. Մինչդեռ գնահատվում է նաև, որ Հյուսիսային Կորեայի հանցավոր խմբեր արդեն վերցրել է 1 միլիարդ դոլար կրիպտոարժույթ defi արձանագրությունները միայն 2022թ.
Դրանով միջադեպը նաև բանավեճ է սկսել ծրագրավորողներին և սպիտակ գլխարկ հաքերներին տրամադրված պարգևների քանակի շուրջ՝ թույլ կողմերը բացահայտելու համար: Լավատեսության մշակողը, ով օգտագործում է Twitter-ի «smartcontracts.eth» կարգավորիչը, պնդում է, որ հաշվի առնելով սխալի հնարավոր ազդեցությունը, առավելագույն պարգևը կարող էր տրվել՝ ավելացնելով. այն դեպքում, երբ մեզ անհրաժեշտ էր ևս մեկ պատճառ՝ սկզբնավորիչներից ազատվելու համար: Surprised Arbitrum-ը վճարել է ընդամենը 3 ETH և ոչ տրված առավելագույն պարգևը»:
Բլոգը ընդգծում է, որ մուտքի արկղի պայմանագրում գրանցված ամենակարևոր ավանդը եղել է 168,000 ETH (մոտ 250 միլիոն դոլար), ընդ որում 24 ժամվա ընթացքում ընդհանուր ավանդները տատանվում են ~1000-ից մինչև ~5000 ԷԹՀ՝ բացահայտելով հնարավոր գորգի ձգման կամ կոտրման չափը:
Հրաժարում պատասխանատվությունից
Մեր կայքում պարունակվող ողջ տեղեկատվությունը հրապարակվում է բարեխղճորեն և միայն ընդհանուր տեղեկատվական նպատակներով: Actionանկացած գործողություն, որը ընթերցողը ձեռնարկում է մեր կայքում հայտնաբերված տեղեկատվության նկատմամբ, խստորեն իրենց ռիսկի տակ է:
Աղբյուր՝ https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/