Daeth manylion i’r amlwg y bore yma am wendid a bounty a dalwyd gan Arbitrum. Gallai'r camfanteisio clytiog fod wedi peryglu mwy na $250 miliwn.
Darganfuwyd y bregusrwydd gan heliwr bounty solidity ffugenw “0xriptide.” Gallai fod wedi effeithio ar unrhyw ddefnyddiwr a geisiodd bontio arian o Ethereum i Arbitrum Nitro, dywedodd 0xriptide.
Mae Arbitrum wedi talu 0xriptide 400 ETH (tua $520,000) fel iawndal am ei rybuddio am y bregusrwydd.
0xriptide's o ddydd i ddydd yn cynnwys sgwrio ImmuneFi, platfform bounty bygiau sydd wedi atal haciau o fwy na $20 biliwn. Mae ei brif ffocws yn ddiweddar wedi canolbwyntio ar atal gorchestion traws-gadwyn, gan eu bod yn peri risg sylweddol fwy o arian oherwydd strwythur “pot mêl” y mwyafrif o brotocolau pontydd, meddai yn yr adroddiad.
Dechreuodd ei chwiliad cychwynnol am y camfanteisio Arbitrum ychydig wythnosau yn ôl cyn uwchraddio Arbitrum Nitro. Yn dilyn ei ymchwiliad cychwynnol, canfu wendid lle'r oedd y contract pontio yn gallu derbyn blaendaliadau, er bod y contract wedi'i gychwyn yn flaenorol.
Dywedodd 0xriptide,
“Pan fyddwch chi'n baglu an newidyn cyfeiriad anghychwynnol mewn Solidity — dylech bob amser gymryd eiliad i oedi ac ymchwilio ymhellach oherwydd nad ydych byth yn gwybod a gafodd ei adael yn bwrpasol yn anghychwynnol neu ar ddamwain."
Y bont manteisio ar
Ar ôl cloddio i mewn i'r cyfeiriad uninitialized, canfu 0xriptide y byddai haciwr yn gallu gosod eu cyfeiriad eu hunain fel y bont, gan ddynwared y contract gwirioneddol, a dwyn yr holl adneuon ETH sy'n dod i mewn o Etheruem i Arbitrum Nitro.
Byddai'r haciwr wedi cael yr hyblygrwydd o naill ai dargedu dyddodion ETH mwy er mwyn cuddio eu gweithredoedd, neu gychwyn ymosodiad gerila a seiffon yr holl arian yn dod i mewn.
Y blaendal mwyaf yn ystod y cyfnod pan allai'r camfanteisio fod wedi digwydd oedd tua 168,000 ETH, neu $250 miliwn. Roedd y dyddodion cyfartalog mewn unrhyw gyfnod o 24 awr pan ellid bod wedi manteisio ar y bregusrwydd yn unrhyw le o 1,000 i 5,000 ETH.
© 2022 The Block Crypto, Inc. Cedwir pob hawl. Darperir yr erthygl hon at ddibenion gwybodaeth yn unig. Ni chynigir na bwriedir ei ddefnyddio fel cyngor cyfreithiol, treth, buddsoddiad, ariannol neu gyngor arall.
Ynglŷn Awdur
Mae Mike yn ohebydd sy'n cwmpasu ecosystemau blockchain, sy'n arbenigo mewn proflenni dim gwybodaeth, preifatrwydd, ac adnabod digidol hunan-sofran. Cyn ymuno â The Block, bu Mike yn gweithio gyda Circle, Blocknative, ac amrywiol brotocolau DeFi ar dwf a strategaeth.
Ffynhonnell: https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss