Un autre hacker White Hat sauve la journée après avoir révélé la vulnérabilité d'Arbitrum


Une faille exploitable dans le pont reliant Ethereum et Arbitrum Nitro a été révélée par un développeur anonyme, évitant un autre piratage crypto majeur dans l’écosystème crypto.

Le pirate au chapeau blanc, riptide, a réclamé une prime de 400 ETH en révélant un bogue critique sur la solution de mise à l’échelle Ethereum Arbitrum qui aurait pu permettre à n’importe quel pirate de voler tous les dépôts entrants entre le pont Layer1 et Layer2.

Au lieu d’exploiter la brèche, le pirate éthique a noté : «Mon intérêt actuel se situe dans l’arène inter-chaînes en raison de la complexité impliquée pour les développeurs de ces projets et de la quantité importante de fonds à risque en raison de la structure actuelle de« pot de miel »de la plupart des implémentations de ponts.

Un autre hacker White Hat sauve la journée après avoir révélé la vulnérabilité d'Arbitrum

Un pirate informatique éthique détourne un autre exploit de plusieurs millions de dollars

Riptide a noté dans un article de blog qu’il savait qu’Arbitrum Nitro était en cours de lancement et a décidé de garder un œil sur la mise à niveau pour vérifier son succès. Cependant, après avoir trouvé la faille de sécurité, le pirate éthique a noté qu’il y avait suffisamment de temps pour cibler de manière sélective les gros dépôts d’ETH pour rester non détectés pendant une période plus longue, siphonner chaque dépôt qui traverse le pont, ou simplement attendre et lancer le prochain dépôt massif d’ETH.

La boîte de réception différée de la chaîne Arbitrum, qui est utilisée pour déposer des ETH ou des jetons via un pont, utilise une fonction d’initialisation.

Les vulnérabilités sur les ponts cryptographiques sont les plus exploitées

Plus tôt en août, le pont crypto Nomad a été exploité pour près de 200 millions de dollars, car les attaques de pont sont une tactique de plus en plus courante pour les criminels. De nombreuses attaques ont eu lieu cette année seulement, y compris l’attaque de 600 millions de dollars contre le pont Ronin relancé d’Axie Infinity.

Les pirates auraient volé près de 2 milliards de dollars à l’industrie DeFi au cours des six premiers mois de cette année, selon Chainalysis. Pendant ce temps, on estime également que les groupes criminels nord-coréens ont déjà pris 1 milliard de dollars en crypto-monnaie des protocoles DeFi rien qu’en 2022.

Avec cela, l’incident a également lancé un débat sur le nombre de primes remises aux développeurs et aux pirates informatiques pour avoir révélé leurs faiblesses. Un développeur d’Optimism, qui utilise le compte Twitter « smartcontracts.eth », a fait valoir qu’étant donné l’impact potentiel de la faute, la récompense maximale aurait pu être donnée, ajoutant  : « Le bogue de pont Arbitrum est le bogue de pont critique #3 causé par de mauvais initialiseurs. Arbitrum surpris n’a payé que 400 ETH et non prime maximale donnée.

Le blog a souligné que le dépôt le plus important enregistré sur le contrat de boîte de réception était de 168 000 ETH (près de 250 millions de dollars), avec des dépôts totaux en 24 heures allant de ~ 1 000 à ~ 5 000 ETH, exposant l’étendue d’un tirage ou d’un piratage potentiel.