Faille critique sur le bridge d’Arbitrum : un white hat touche une prime de 400 ETH

Un white hat évite le pire au bridge d’Arbitrum

Le hacker white hat, répondant au pseudonyme de riptide a découvert une faille importante dans le bridge permettant de communiquer entre Ethereum (ETH) et Arbitrum. En récompense de son travail, il a perçu une prime à hauteur de 400 ETH, soit un peu plus de 530 000 dollars au cours actuel :

My bug bounty write-up on a critical vulnerability I discovered on Arbitrum Nitro which allowed an attacker to steal all incoming ETH deposits to the L1->L2 bridge
https://t.co/WuR4RYUL3L

@icodeblockchain @samiamka2 @Mudit__Gupta @0xRecruiter @BowTiedCrocodil @BowTiedDevil

— riptide (@0xriptide) September 20, 2022

Si cette faille avait été exploitée par une personne mal attentionnée, cela aurait pu s’avérer catastrophique. En effet, suite à une anomalie concernant une variable dans le code, riptide explique qu’il a pu établir le prototype d’un programme permettant de détourner l’ensemble des ETH transitant par le bridge.

À ce jour, le plus gros dépôt est de 168 000 ETH, soit plus de 220 millions de dollars. Sur une base quotidienne, il est également courant de voir passer des dépôts compris entre 1 000 et 5 000 ETH.

Un hacker aurait alors pu faire le choix de cibler certains dépôts stratégiques, afin de gagner sur la durée, ou de tout bonnement détourner l’ensemble des fonds. C’est donc une catastrophe d’ampleur qu’Arbitrum a évitée, grâce à la veille de ce white hat.

? Pour aller plus loin – Retrouvez notre guide sur les bonnes pratiques pour limiter le risque de hack

L’importance stratégique des bridges

Par défaut, un actif ne peut exister que sur une seule blokchain. Afin de le faire naviguer d’un réseau à un autre, il faudra pour cela utiliser un bridge. Cette technologie permet de verrouiller des cryptomonnaies dans un smart contract, afin d’en créer une version synthétique sur la chaîne cible.

Pour faire le chemin inverse, ces versions synthétiques sont alors détruites pour libérer leur sous-jacent sur l’autre chaîne. Cela signifie que si le contrat de dépôt est vidé par un acteur malveillant, les actifs bridgés ne valent alors plus rien.

Le fait que de telles applications verrouillent une importance masse monétaire en fait des cibles de choix pour les hackers. Ceci a plusieurs fois été démontré cette année, au travers des attaques sur Ronin, Wormhole, ou plus récemment Horizon Bridge d’Harmony.

C’est pour cela que les différentes applications Web3 proposent des niveaux de primes en fonction des bugs trouvés. Cela permet à des talents de mettre à profit leurs connaissances, pour trouver des failles dans les smart contracts. Ces white hats contribuent ainsi à renforcer la sécurité de l’écosystème, en gagnant des récompenses par le biais d’intermédiaires comme Immunefi.

? Dans l’actualité également – Un market maker subi un hack de 160 millions de dollars et se montre ouvert aux négociations

Source : riptide

Depuis 2021, je consacre mon temps libre à me former sérieusement sur les cryptomonnaies afin d'acquérir un maximum de connaissances et de crédibilité. J'ai souvent l'opportunité de réaliser des interviews de personnalités influentes de l'industrie blockchain. Je mène également des analyses approfondies sur des thématiques du Web3 pour proposer du contenu exclusif aux lecteurs de Cryptoast.

Vincent Maire

2227 articles

Tous ses articles