Без бдителността на „бялата шапка“ мостът Arbitrum, свързан с Ethereum (ETH), също можеше да претърпи сериозен хак. Всъщност недостатък в кода би позволил на злонамерен участник да отклони всички средства, преминаващи през приложението.
Бялата шапка избягва най-лошото при моста Арбитрум
Хакерът с бяла шапка, който се подвизава под псевдонима riptide, открива сериозен недостатък в моста, който позволява комуникация между Ethereum (ETH) и Arbitrum. Като награда за работата си той получи награда от 400 ETH, или малко над 530 000 долара по текуща цена:
Моята награда за грешка в критична уязвимост, която открих в Arbitrum Nitro и която позволява на нападателя да открадне всички входящи ETH депозити в моста L1-☻L2
https://t. co/WuR4RYUL3L@icodeblockchain @samiamka2 @Mudit__Gupta @0xRecruiter @BowTiedCrocodil @BowTiedDevil– riptide (@0xriptide) 20 септември, 2022
Ако този недостатък е бил използван от невнимателен човек, той е можел да има катастрофални последици. Всъщност след аномалия, свързана с променлива в кода, riptide обяснява, че е успял да създаде прототип на програма, която позволява да се отклони целият ETH, преминаващ през моста.
До момента най-големият депозит е 168 000 ETH, или над 220 милиона долара. Ежедневно се наблюдават и депозити между 1000 и 5000 ETH.
Тогава хакерът би могъл да се насочи към определени стратегически депозити, за да спечели с течение на времето, или просто да отклони всички средства. По този начин Arbitrum избегна катастрофа от такъв мащаб благодарение на бдителността на тази бяла шапка.
Стратегическото значение на мостовете
По подразбиране даден актив може да съществува само в една блокова верига. За да го преместите от една мрежа в друга, е необходимо да използвате мост. Тази технология позволява криптовалутите да бъдат заключени в интелигентен договор, за да се създаде синтетична версия в целевата верига.
В обратната посока тези синтетични версии се разрушават, за да се освободят в другата верига. Това означава, че ако договорът за депозит бъде изпразнен от злонамерен участник, мостовите активи са безполезни.
Фактът, че подобни приложения блокират голям обем пари, ги прави основни мишени за хакерите. Това беше демонстрирано няколко пъти тази година – чрез атаките срещу Ронин, Червеева дупка, а наскоро и срещу моста Хоризонт на Хармония.
Ето защо различните приложения Web3 предлагат нива на възнаграждение в зависимост от откритите грешки. Това позволява на талантите да използват знанията си, за да откриват недостатъци в интелигентните договори. По този начин тези „бели шапки“ допринасят за укрепването на сигурността на екосистемата, като печелят възнаграждения чрез посредници като Immunefi.
