今天早上,Arbitrum 支付的漏洞和赏金的详细信息浮出水面。修补后的漏洞可能造成超过 250 亿美元的损失。
该漏洞是由假名 Solidity 赏金猎人“0xriptide”发现的。 0xriptide 表示,这可能会影响任何试图将资金从以太坊转移到 Arbitrum Nitro 的用户。
Arbitrum 已向 0xriptide 支付 400 ETH(约 520,000 万美元),作为向其发出漏洞警报的补偿。
0xriptide 的 日常工作包括搜索 ImmuneFi,这是一个错误赏金平台,已防止黑客攻击价值超过 20 亿美元。他最近的主要关注点是防止跨链攻击,因为大多数桥接协议的“蜜罐”结构导致大量资金面临风险,他在 那个报告。
几周前,在 Arbitrum Nitro 升级之前,他开始了对 Arbitrum 漏洞的初步搜索。经过初步调查,他发现了一个漏洞,即桥接合约能够接受存款,即使合约之前已初始化。
0xriptide 说,
“当你偶然发现 an Solidity 中未初始化的地址变量 - 您应该始终花点时间暂停并进一步调查,因为您永远不知道它是故意未初始化还是意外.=
这座桥 利用
在深入挖掘未初始化的地址后,0xriptide 发现黑客能够将自己的地址设置为桥接器,模仿实际合约,并窃取所有从 Etheruem 流入 Arbitrum Nitro 的 ETH 存款。
黑客可以灵活地选择更大的 ETH 存款来掩盖他们的行为,或者开始游击式攻击并吸走所有流入的资金。
漏洞发生期间最大的存款额约为 168,000 ETH,即 250 亿美元。在该漏洞可能被利用的任何 24 小时时间内,平均存款金额为 1,000 到 5,000 ETH。
©2022 The Block Crypto,Inc.保留所有权利。 本文仅供参考。 不提供或不打算将其用作法律,税务,投资,财务或其他建议。
作者简介
Mike 是一名报道区块链生态系统的记者,专门研究零知识证明、隐私和自主数字识别。 在加入 The Block 之前,Mike 曾与 Circle、Blocknative 和各种 DeFi 协议就增长和战略合作。
资料来源:https://www.theblock.co/post/171585/arbitrum-announces-400-eth-bug-bounty-payout?utm_source=rss&utm_medium=rss