Faille critique sur le bridge d’Arbitrum : un white hat touche une prime de 400 ETH
Sans le travail de veille d’un white hat, le bridge d’Arbitrum connecté à Ethereum (ETH) aurait pu, lui aussi, subir un hack d’une grande ampleur. En effet, un défaut dans le code aurait pu permettre à un acteur malveillant de détourner l’ensemble des fonds passant par l’application.
Acheter Ethereum (ETH)
Publicité eToro
Un white hat évite le pire au bridge d’Arbitrum
Le hacker white hat, répondant au pseudonyme de riptide a découvert une faille importante dans le bridge permettant de communiquer entre Ethereum (ETH) et Arbitrum. En récompense de son travail, il a perçu une prime à hauteur de 400 ETH, soit un peu plus de 530 000 dollars au cours actuel :
My bug bounty write-up on a critical vulnerability I discovered on Arbitrum Nitro which allowed an attacker to steal all incoming ETH deposits to the L1->L2 bridge
https://t.co/WuR4RYUL3L@icodeblockchain @samiamka2 @Mudit__Gupta @0xRecruiter @BowTiedCrocodil @BowTiedDevil
— riptide (@0xriptide) September 20, 2022
Si cette faille avait été exploitée par une personne mal attentionnée, cela aurait pu s’avérer catastrophique. En effet, suite à une anomalie concernant une variable dans le code, riptide explique qu’il a pu établir le prototype d’un programme permettant de détourner l’ensemble des ETH transitant par le bridge.
À ce jour, le plus gros dépôt est de 168 000 ETH, soit plus de 220 millions de dollars. Sur une base quotidienne, il est également courant de voir passer des dépôts compris entre 1 000 et 5 000 ETH.
Un hacker aurait alors pu faire le choix de cibler certains dépôts stratégiques, afin de gagner sur la durée, ou de tout bonnement détourner l’ensemble des fonds. C’est donc une catastrophe d’ampleur qu’Arbitrum a évitée, grâce à la veille de ce white hat.
? Pour aller plus loin – Retrouvez notre guide sur les bonnes pratiques pour limiter le risque de hack
Ledger : la meilleure solution pour protéger vos cryptomonnaies 🔒L’importance stratégique des bridges
Par défaut, un actif ne peut exister que sur une seule blokchain. Afin de le faire naviguer d’un réseau à un autre, il faudra pour cela utiliser un bridge. Cette technologie permet de verrouiller des cryptomonnaies dans un smart contract, afin d’en créer une version synthétique sur la chaîne cible.
Pour faire le chemin inverse, ces versions synthétiques sont alors détruites pour libérer leur sous-jacent sur l’autre chaîne. Cela signifie que si le contrat de dépôt est vidé par un acteur malveillant, les actifs bridgés ne valent alors plus rien.
Le fait que de telles applications verrouillent une importance masse monétaire en fait des cibles de choix pour les hackers. Ceci a plusieurs fois été démontré cette année, au travers des attaques sur Ronin, Wormhole, ou plus récemment Horizon Bridge d’Harmony.
C’est pour cela que les différentes applications Web3 proposent des niveaux de primes en fonction des bugs trouvés. Cela permet à des talents de mettre à profit leurs connaissances, pour trouver des failles dans les smart contracts. Ces white hats contribuent ainsi à renforcer la sécurité de l’écosystème, en gagnant des récompenses par le biais d’intermédiaires comme Immunefi.
? Dans l’actualité également – Un market maker subi un hack de 160 millions de dollars et se montre ouvert aux négociations
Cryptoast Academy : 75% de réduction avant le Black Friday pour fêter le bullrunSource : riptide
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission.
Les investissements dans les crypto-monnaies sont risqués. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital