Анонимный разработчик выявил уязвимость моста между Ethereum и Arbitrum Nitro и тем самым спас криптоиндустрию от очередного крупного взлома
Белый хакер riptide обнаружил серьезную уязвимость в решении для масштабирования Ethereum Arbitrum. Лазейка давала злоумышленникам доступ к деньгам, которые идут через мост между основной сетью Ethereum и решением второго уровня (Layer 2) Arbitrum. За найденную ошибку хакер потребовал награду в размере 400 ETH.
Riptide мог воспользоваться уязвимостью и похитить средства пользователей Arbitrum, но вместо этого он заявил:
«Я интересуюсь кросс-чейн решениями, потому что они сложные в разработке, текущая структура большинства мостов — лакомый кусок для хакеров, поэтому много денег в зоне риска».
Читайте также: Что такое Arbitrum и как работают решения второго уровня Ethereum
Белый хакер предотвратил взлом на миллионы долларов
Riptide отметил, что он знал о запуске обновления Arbitrum – Arbitrum Nitro – и решил проверить, насколько оно удачное.
Хакер поделился, что у него было достаточно времени, чтобы выборочно нацелиться на крупные депозиты ETH и, долго оставаясь незамеченным, забирать себе все проходящие через мост депозиты.
Delayed Inbox, используемый Arbitrum для внесения ETH или иных токенов через мост, применяет для этого процесса функцию инициализатора. По словам хакера, можно перехватить все поступления ETH от пользователей, которые пытаются подключиться к Arbitrum с помощью функции depositEth()».
Криптомосты подвергаются частым взломам
В августе 2022 года злоумышленник взломал криптомост Nomad и похитил почти $200 млн — атаки на мосты становятся популярно тактикой для преступников. Только в этом году произошло множество кибератак, в том числе был взломан мост Ronin от Axie Infinity, в результате чего хакерам удалось украсть более $600 млн.
По данным Chainalysis, хакеры похитили почти $2 млн из DeFi-индустрии за первые шесть месяцев этого года. Также было подсчитано, что северокорейские преступные группировки уже успели украсть $1 млрд в криптовалюте из DeFi-протоколов за 2022 год.
Читайте также: В 2022 году злоумышленники обокрали крипторынок на $3 млрд — этого хватит, чтобы купить несколько островов на Багамах
Споры о вознаграждениях для белых хакеров
Инцидент с riptide также положил начало дебатам о сумме вознаграждений, которую нужно выдавать разработчикам и хакерам за найденные уязвимости.
Разработчик Optimism под ником smartcontracts.eth заявил, что за обнаруженную ошибку в Arbitrum хакер мог получить максимально возможное вознаграждение, ведь потенциальный ущерб от уязвимости оценивается в сотни миллионов долларов. Smartcontracts.eth также добавил:
«Уязвимость моста Arbitrum – это критическая ошибка моста #3, вызванная плохими инициализаторами. Удивлен, что Arbitrum выплатил хакеру только 400 ETH, а не [максимальную] награду».
Riptide также подчеркивает, что самый большой депозит, зарегистрированный в контракте Inbox, составил 168 000 ETH (около $250 млн), при этом общий объем депозитов за 24 часа варьировался от ~ 1000 до ~ 5000 ETH, что показывает, насколько опустошающим мог бы быть взлом для Arbitrum и его пользователей.
Читайте свежие новости криптовалют на портале BeInCrypto и присоединяйтесь к дискуссии в нашем Телеграм-канале
Согласно правилам Trust Project, BeInCrypto стремится предоставлять только непредвзятую и правдивую информацию. Цель этой новостной статьи — осветить событие точно и своевременно. Тем не менее, BeInCrypto рекомендует читателям самостоятельно проверять информацию и консультироваться со специалистом, прежде чем принимать любые финансовые решения на основе этого контента. Также обратите внимание, что наши «Условия и положения», «Политика конфиденциальности» и «Дисклеймеры» были обновлены.
