เทคโนโลยี

แฮ็กเกอร์ White Hat อีกคนช่วยชีวิตหลังจากเปิดเผยช่องโหว่ของอนุญาโตตุลาการ

09/21/2022
ข่าว Bitcoin Ethereum

ข้อผิดพลาดที่หาประโยชน์ได้ในการเชื่อมต่อสะพาน Ethereum และ อนุญาโตตุลาการ Nitro ถูกเปิดเผยโดยนักพัฒนานิรนาม โดยหลีกเลี่ยงการแฮ็ค crypto ที่สำคัญอื่นในระบบนิเวศของ crypto

แฮ็กเกอร์หมวกขาว riptide อ้างว่าได้รับเงินรางวัล 400 ETH โดยเปิดเผยจุดบกพร่องที่สำคัญในโซลูชันการปรับขนาด Ethereum Arbitrum ที่อาจอนุญาตให้แฮ็กเกอร์ขโมยเงินฝากที่เข้ามาทั้งหมดระหว่างสะพาน Layer1 และ Layer2

ภาพ

แทนที่จะใช้ประโยชน์จากการละเมิด แฮ็กเกอร์ที่มีจริยธรรมกล่าวว่า “ความสนใจในปัจจุบันของฉันอยู่ในเวทีข้ามสายเนื่องจากความซับซ้อนที่เกี่ยวข้องสำหรับนักพัฒนาของโครงการเหล่านี้และเงินทุนจำนวนมากที่มีความเสี่ยงเนื่องจากโครงสร้าง 'honeypot' ปัจจุบันของ การใช้งานสะพานส่วนใหญ่”

แฮ็กเกอร์หมวกขาวที่มีจริยธรรมเบี่ยงเบนความสนใจไปอีกหลายล้านดอลลาร์

Riptide ตั้งข้อสังเกตในบล็อกโพสต์ว่าเขารู้ว่า Arbitrum Nitro กำลังเปิดตัวและตัดสินใจที่จะจับตาดูการอัปเกรดเพื่อตรวจสอบความสำเร็จ อย่างไรก็ตาม หลังจากที่พบว่า ความปลอดภัย แฮ็กเกอร์ที่มีจริยธรรมตั้งข้อสังเกตว่ามีเวลาเพียงพอที่จะเลือกกำหนดเป้าหมายเงินฝาก ETH ขนาดใหญ่เพื่อไม่ให้ถูกตรวจพบเป็นระยะเวลานานขึ้น ดูดเอาทุกเงินฝากที่ผ่านสะพาน หรือเพียงแค่รอและดำเนินการเงินฝาก ETH ขนาดใหญ่ถัดไป

กล่องขาเข้าที่ล่าช้าของ Arbitrum chain ซึ่งใช้สำหรับฝาก ETH หรือโทเค็นผ่านบริดจ์ ใช้ฟังก์ชันเริ่มต้น แฮ็กเกอร์หมวกขาวกล่าวว่า “เราสามารถจี้เงินฝาก ETH ที่เข้ามาทั้งหมดจากผู้ใช้ที่พยายามเชื่อมต่อกับ Arbitrum ผ่านฟังก์ชัน depositEth()”

ช่องโหว่บนสะพาน crypto นั้นถูกเอารัดเอาเปรียบมากที่สุด

ก่อนหน้านี้ในเดือนสิงหาคม สะพานเข้ารหัส Nomad ถูกเอารัดเอาเปรียบเกือบ 200 ล้านดอลลาร์ เนื่องจากการโจมตีสะพานเป็นกลวิธีที่พบได้บ่อยสำหรับอาชญากร ในปีนี้ปีเดียวมีการโจมตีหลายครั้ง ซึ่งรวมถึงการโจมตีมูลค่า 600 ล้านดอลลาร์ที่สะพาน Ronin ที่เปิดใหม่แห่ง Axie Infinity

มีรายงานว่าแฮ็กเกอร์ ขโมย เกือบ 2 พันล้านดอลลาร์จาก Defi อุตสาหกรรมในช่วงหกเดือนแรกของปีนี้ตาม Chainalysis. ในขณะเดียวกันก็ประมาณว่า กลุ่มอาชญากรเกาหลีเหนือ ได้รับเงินดิจิตอล 1 พันล้านดอลลาร์จาก Defi โปรโตคอลในปี 2022 เพียงอย่างเดียว

ด้วยเหตุนี้ เหตุการณ์ดังกล่าวจึงเริ่มมีการถกเถียงกันเกี่ยวกับจำนวนรางวัลที่มอบให้กับนักพัฒนาและแฮ็กเกอร์หมวกขาวเพื่อเปิดเผยจุดอ่อน นักพัฒนา Optimism ที่ใช้ Twitter จัดการ 'smartcontracts.eth' แย้งว่าเมื่อพิจารณาถึงผลกระทบที่อาจเกิดขึ้นจากความผิดพลาด ผลตอบแทนสูงสุดก็อาจได้รับ โดยเสริมว่า “ข้อผิดพลาดของบริดจ์ Arbitrum เป็นข้อผิดพลาดของบริดจ์ที่สำคัญ #3 ที่เกิดจากตัวเริ่มต้นที่ไม่ดี ในกรณีที่เราต้องการเหตุผลอื่นเพื่อกำจัด initializers อนุญาโตตุลาการประหลาดใจจ่ายเพียง 400 ETH และไม่ใช่ [the] ค่าหัวสูงสุดที่ให้”

บล็อกเน้นว่าเงินฝากที่สำคัญที่สุดที่บันทึกไว้ในสัญญากล่องจดหมายคือ 168,000 ETH (เกือบ 250 ล้านดอลลาร์) โดยมีเงินฝากทั้งหมดใน 24 ชั่วโมงตั้งแต่ ~ 1000 ถึง ~ 5000 ETH เผยให้เห็นขอบเขตของการดึงพรมหรือแฮ็คที่อาจเกิดขึ้น

ข้อจำกัดความรับผิดชอบ

ข้อมูลทั้งหมดที่มีอยู่ในเว็บไซต์ของเราเผยแพร่โดยสุจริตและเพื่อวัตถุประสงค์ในการให้ข้อมูลทั่วไปเท่านั้น การดำเนินการใด ๆ ที่ผู้อ่านดำเนินการกับข้อมูลที่พบในเว็บไซต์ของเราถือเป็นความเสี่ยงของตนเอง

ที่มา: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/