ru
Назад к списку

Arbitrum спасли от крупного взлома

source-logo  cryptocurrency.tech 22 Сентябрь 2022 12:44, UTC
image

Белый хакер riptide обнаружил серьезную уязвимость в решении для масштабирования Ethereum Arbitrum. Лазейка давала злоумышленникам доступ к деньгам, которые идут через мост между основной сетью Ethereum и решением второго уровня (Layer 2) Arbitrum. За найденную ошибку хакер потребовал награду в размере 400 $ETH.

Riptide мог воспользоваться уязвимостью и похитить средства пользователей Arbitrum, но вместо этого он заявил:

«Я интересуюсь кросс-чейн решениями, потому что они сложные в разработке, текущая структура большинства мостов — лакомый кусок для хакеров, поэтому много денег в зоне риска».

Белый хакер предотвратил взлом на миллионы долларов

Riptide отметил, что он знал о запуске обновления Arbitrum – Arbitrum Nitro – и решил проверить, насколько оно удачное.

Хакер поделился, что у него было достаточно времени, чтобы выборочно нацелиться на крупные депозиты $ETH и, долго оставаясь незамеченным, забирать себе все проходящие через мост депозиты.

Delayed Inbox, используемый Arbitrum для внесения $ETH или иных токенов через мост, применяет для этого процесса функцию инициализатора. По словам хакера, можно перехватить все поступления $ETH от пользователей, которые пытаются подключиться к Arbitrum с помощью функции depositEth()».

Криптомосты подвергаются частым взломам

В августе 2022 года злоумышленник взломал криптомост Nomad и похитил почти $200 млн — атаки на мосты становятся популярно тактикой для преступников. Только в этом году произошло множество кибератак, в том числе был взломан мост Ronin от Axie Infinity, в результате чего хакерам удалось украсть более $600 млн.

По данным Chainalysis, хакеры похитили почти $2 млн из DeFi-индустрии за первые шесть месяцев этого года. Также было подсчитано, что северокорейские преступные группировки уже успели украсть $1 млрд в криптовалюте из DeFi-протоколов за 2022 год.

Споры о вознаграждениях для белых хакеров

Инцидент с riptide также положил начало дебатам о сумме вознаграждений, которую нужно выдавать разработчикам и хакерам за найденные уязвимости.

Разработчик Optimism под ником smartcontracts.eth заявил, что за обнаруженную ошибку в Arbitrum хакер мог получить максимально возможное вознаграждение, ведь потенциальный ущерб от уязвимости оценивается в сотни миллионов долларов. Smartcontracts.eth также добавил:

«Уязвимость моста Arbitrum – это критическая ошибка моста #3, вызванная плохими инициализаторами. Удивлен, что Arbitrum выплатил хакеру только 400 $ETH, а не [максимальную] награду».

Riptide также подчеркивает, что самый большой депозит, зарегистрированный в контракте Inbox, составил 168 000 $ETH (около $250 млн), при этом общий объем депозитов за 24 часа варьировался от ~ 1000 до ~ 5000 $ETH, что показывает, насколько опустошающим мог бы быть взлом для Arbitrum и его пользователей.

cryptocurrency.tech