Nam y gellir ei ecsbloetio yn y bont sy'n cysylltu Ethereum ac Arbitrwm Datgelwyd Nitro gan ddatblygwr dienw, gan osgoi darnia crypto mawr arall yn yr ecosystem crypto.
Honnodd yr haciwr het gwyn, riptide, bounty o 400 ETH trwy ddatgelu byg critigol ar yr ateb graddio Ethereum Arbitrum a allai fod wedi caniatáu i unrhyw haciwr ddwyn yr holl adneuon sy'n dod i mewn rhwng y bont Layer1 a Layer2.
Yn hytrach na manteisio ar y toriad, nododd yr haciwr moesegol, “Mae fy niddordeb ar hyn o bryd o fewn yr arena traws-gadwyn oherwydd cymhlethdod datblygwyr y prosiectau hyn a'r swm sylweddol o arian sydd mewn perygl oherwydd y strwythur 'pot mêl' presennol. y rhan fwyaf o weithrediadau pontydd.”
Mae haciwr het wen foesegol yn dargyfeirio camfanteisio arall gwerth miliynau o ddoleri
Nododd Riptide mewn post blog ei fod yn gwybod bod Arbitrum Nitro yn lansio a phenderfynodd gadw llygad ar yr uwchraddiad i wirio ei lwyddiant. Fodd bynnag, ar ôl dod o hyd i'r diogelwch torri, nododd yr haciwr moesegol fod digon o amser i dargedu dyddodion ETH mawr yn ddetholus i aros heb eu canfod am gyfnod mwy estynedig, seiffon oddi ar bob blaendal unigol sy'n mynd trwy'r bont, neu yn syml aros a blaen-redeg y blaendal ETH enfawr nesaf.
Mae Blwch Derbyn Gohiriedig cadwyn Arbitrum, a ddefnyddir ar gyfer adneuo ETH neu docynnau trwy bont, yn defnyddio swyddogaeth cychwynnwr. Nododd yr haciwr het wen “gallwn herwgipio’r holl adneuon ETH sy’n dod i mewn gan ddefnyddwyr sy’n ceisio pontio i Arbitrum trwy’r swyddogaeth depositEth().”
Gwendidau ar bontydd crypto yw'r rhai sy'n cael eu hecsbloetio fwyaf
Yn gynharach ym mis Awst, pont crypto Nomad cael ei ecsbloetio am bron i $200 miliwn gan fod ymosodiadau pontydd yn dacteg gynyddol gyffredin i droseddwyr. Mae nifer o ymosodiadau wedi digwydd eleni yn unig, gan gynnwys yr ymosodiad $600 miliwn ar bont Ronin o Axie Infinity a ail-lansiwyd.
Hacwyr yn ôl pob sôn dwyn bron i $2 biliwn o'r Defi diwydiant yn ystod chwe mis cyntaf y flwyddyn hon, yn ôl Chainalysis. Yn y cyfamser, amcangyfrifir hefyd bod Grwpiau troseddol Gogledd Corea eisoes wedi cymryd $1 biliwn mewn arian cyfred digidol o Defi protocolau yn 2022 yn unig.
Gyda hynny, mae'r digwyddiad hefyd wedi dechrau dadl ynghylch nifer y bounties a roddwyd i ddatblygwyr a hacwyr hetiau gwyn am ddatgelu gwendidau. Dadleuodd datblygwr Optimistiaeth, sy'n defnyddio'r handlen Twitter 'smartcontracts.eth,', o ystyried effaith bosibl y nam, y gellid bod wedi rhoi'r wobr fwyaf, gan ychwanegu, “Mae nam pont Arbitrum yn nam pont critigol #3 a achosir gan gychwynwyr gwael, rhag ofn bod angen rheswm arall i gael gwared ar ddechreuwyr. Dim ond 400 ETH y talodd Surprised Arbitrum ac nid [y] swm uchaf a roddwyd.”
Amlygodd y blog mai'r blaendal mwyaf arwyddocaol a gofnodwyd ar y contract mewnflwch oedd 168,000 ETH (agos at $250 miliwn), gyda chyfanswm adneuon mewn 24 awr yn amrywio o ~1000 i ~5000 ETH, gan ddatgelu maint tyniad ryg neu hacio posibl.
Ymwadiad
Cyhoeddir yr holl wybodaeth a gynhwysir ar ein gwefan yn ddidwyll ac at ddibenion gwybodaeth gyffredinol yn unig. Mae unrhyw gamau y mae'r darllenydd yn eu cymryd ar y wybodaeth a geir ar ein gwefan yn hollol ar ei risg ei hun.
Ffynhonnell: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/