Hacker de “sombrero blanco” revela importante vulnerabilidad de Arbitrum

EN RESUMEN
  • Un hacker ético expuso un error explotable en el bridge que conecta Ethereum y Arbitrum Nitro.
  • El hacker de sombrero blanco reclamó una recompensa de 400 ETH al revelar el error crítico.
  • El incidente también ha iniciado un debate sobre las recompensas por errores que se entregan a los desarrolladores y a los hackers éticos.
  • promo

    Accede a más de 70 CFD de las principales cripto, sin comisiones y con spreads ínfimos Accede

Un desarrollador anónimo reveló una falla explotable en el bridge que conecta Ethereum y Arbitrum Nitro, lo que evitó otro importante hack en el ecosistema cripto.

El hacker de sombrero blanco (white hat hacker, en inglés), riptide, reclamó una recompensa de 400 ETH al revelar un error crítico en la solución de escalabilidad de Ethereum, Arbitrum, que podría haber permitido a cualquier hacker robar todos los depósitos entrantes entre el bridge L1 y L2.

En lugar de explotar la brecha, el hacker ético señaló:

“Mi interés actual está dentro del campo cross-chain debido a la complejidad que implica para los desarrolladores de estos proyectos y la cantidad significativa de fondos en riesgo debido a la estructura actual de ‘honeypot’ de la mayoría de las implementaciones de los bridges”.

El hacker ético salva un potencial exploit multimillonario

Riptide señaló en una publicación de blog que sabía que Arbitrum Nitro se estaba lanzando y decidió vigilar la actualización para verificar su éxito.

Sin embargo, después de encontrar la brecha de seguridad, el hacker ético notó que había tiempo suficiente para apuntar selectivamente a grandes depósitos de ETH para permanecer sin ser detectados por un período más prolongado, desviar cada depósito que pasa a través del puente, o simplemente esperar y ejecutar front-run en el próximo depósito masivo de ETH.

El Delayed Inbox de la cadena Arbitrum, que se utiliza para depositar ETH o tokens a través de un bridge, utiliza una función de inicialización. El hacker de sombrero blanco señaló que “podemos secuestrar todos los depósitos ETH entrantes de los usuarios que intentan conectarse a Arbitrum a través de la función depositEth()”.

Las vulnerabilidades en los bridges de cripto son las más explotadas

A principios de agosto, el bridge Nomad fue explotado por casi 200 millones de dólares, ya que los ataques a los bridges son una táctica cada vez más común para los delincuentes. Se han producido numerosos ataques solo este año, incluido el ataque de 600 millones de dólares en el Bridge Ronin de Axie Infinity.

Según los informes, los hackers robaron casi 2 mil millones de dólares de la industria DeFi durante los primeros seis meses de este año, según Chainalysis. Mientras tanto, también se estima que los grupos criminales de Corea del Norte ya tomaron 1,000 millones de dólares en criptomonedas de los protocolos DeFi solo en 2022.

Con eso, el incidente también ha iniciado un debate sobre la cantidad de recompensas entregadas a los desarrolladores y hackers de sombrero blanco por exponer las debilidades.

 Un desarrollador de Optimism, que usa el identificador de Twitter ‘smartcontracts.eth’, argumentó que dado el impacto potencial del error, se podría haber dado la máxima recompensa, y agregó:

“El error del bridge de Arbitrrum es el error crítico del bridge #3 causado por inicializadores incorrectos, en caso de que necesitáramos otra razón para deshacernos de los inicializadores. Sorprendido Arbitrum solo pagó 400 ETH y no [la] recompensa máxima a otorgar”.

El blog destacó que el depósito más significativo registrado en el contrato inbox fue de 168,000 ETH (cerca de 250 millones de dólares), con depósitos totales en 24 horas que oscilaron entre 1,000 ETH y 5,000 ETH, lo que expuso el alcance de un posible robo o hack.

Descargo de responsabilidad

Toda la información contenida en nuestro sitio web se publica con buena fe y sólo con fines de información general. Cualquier acción que el lector tome sobre la información encontrada en nuestro sitio web es estrictamente bajo su propio riesgo.