پاداش ۴۰۰ اتریومی اربیتروم
-
- زمان مطالعه: 3دقیقه
- دیدگاه ها بدون دیدگاه
- مطالعه شده توسط 610 نفر
جزئیات یک آسیب پذیری و جایزه پرداخت شده توسط اربیتروم صبح امروز اعلام شد. این باگ اصلاح شده می توانست بیش از ۲۵۰ میلیون دلار به خطر بیاندازد.
این آسیبپذیری توسط شکارچی با نام مستعار solidity bounty “0xriptide” کشف شد. 0xriptide میگوید، این میتواند بر هر کاربری که تلاش میکرد پول را از اتریوم به Arbitrum Nitro متصل کند، تأثیر بگذارد.
اربیتروم چهارصد اتریوم (حدود ۵۲۰۰۰۰ دلار) را به عنوان غرامت برای هشدار گرفتن به این باگ پرداخت کرده است
کارهای روزمره 0xriptide شامل جستجوی ImmuneFi است، یک پلتفرم جایزه باگ که از هک بیش از ۲۰ میلیارد دلار جلوگیری کرده است. او در این گزارش گفت که تمرکز اصلی او اخیراً بر جلوگیری از سوء استفادههای زنجیرهای متقابل متمرکز بوده است، زیرا آنها به دلیل ساختار “honeypot” بیشتر پروتکلهای پل، حجم قابل توجهی از سرمایه را در معرض خطر قرار میدهند.
جستجوی اولیه او برای اکسپلویت Arbitrum چند هفته پیش قبل از ارتقاء Arbitrum Nitro آغاز شد. در تحقیقات اولیه، او آسیب پذیری پیدا کرد که در آن قرارداد پل می توانست سپرده ها را بپذیرد، حتی اگر قرارداد قبلاً اولیه شده بود.
0xriptide گفت،
زمانی که در سالیدیتی به یک متغیر آدرس غیراصولی برخورد میکنید، همیشه باید لحظهای درنگ کنید و بیشتر تحقیق کنید، زیرا هرگز نمیدانید که آیا این متغیر به طور هدفمند بدون مقدار اولیه رها شده است یا تصادفی.
0xriptide پس از کاوش در آدرس اولیه، متوجه شد که یک هکر میتواند آدرس خود را بهعنوان پل تنظیم کند، با تقلید از قرارداد واقعی، و تمام سپردههای اتریوم ورودی از اتریوم به Arbitrum Nitro را بدزدد.
هکر میتوانست این انعطافپذیری را داشته باشد که یا سپردههای بزرگتر اتریوم را هدف قرار دهد تا اقدامات آنها را پنهان کند، یا حملهای از نوع چریکی را آغاز کند و تمام سرمایههای ورودی را از بین ببرد.
بزرگترین سپرده در دورهای که بهرهبرداری ممکن بود رخ دهد، تقریباً ۱۶۸۰۰۰ اتربوم یا ۲۵۰ میلیون دلار بود. میانگین سپردهها در هر دوره زمانی ۲۴ ساعته که میتوانست از آسیبپذیری مورد سوء استفاده قرار گیرد، از ۱۰۰۰ تا ۵۰۰۰ اتریوم بوده است.
دیدگاه های نوشته
بدون دیدگاه