Faille critique sur le bridge d’Arbitrum : un white hat touche une prime de 400 ETH
Sans le travail de veille d’un white hat, le bridge d’Arbitrum connecté à Ethereum (ETH) aurait pu, lui aussi, subir un hack d’une grande ampleur. En effet, un défaut dans le code aurait pu permettre à un acteur malveillant de détourner l’ensemble des fonds passant par l’application.
le 21 septembre 2022 à 12:00.
2 minutes de lecture
Un white hat évite le pire au bridge d’Arbitrum
Le hacker white hat, répondant au pseudonyme de riptide a découvert une faille importante dans le bridge permettant de communiquer entre Ethereum (ETH) et Arbitrum. En récompense de son travail, il a perçu une prime à hauteur de 400 ETH, soit un peu plus de 530 000 dollars au cours actuel :
My bug bounty write-up on a critical vulnerability I discovered on Arbitrum Nitro which allowed an attacker to steal all incoming ETH deposits to the L1->L2 bridge
https://t.co/WuR4RYUL3L@icodeblockchain @samiamka2 @Mudit__Gupta @0xRecruiter @BowTiedCrocodil @BowTiedDevil— riptide (@0xriptide) September 20, 2022
Si cette faille avait été exploitée par une personne mal attentionnée, cela aurait pu s’avérer catastrophique. En effet, suite à une anomalie concernant une variable dans le code, riptide explique qu’il a pu établir le prototype d’un programme permettant de détourner l’ensemble des ETH transitant par le bridge.
À ce jour, le plus gros dépôt est de 168 000 ETH, soit plus de 220 millions de dollars. Sur une base quotidienne, il est également courant de voir passer des dépôts compris entre 1 000 et 5 000 ETH.
Un hacker aurait alors pu faire le choix de cibler certains dépôts stratégiques, afin de gagner sur la durée, ou de tout bonnement détourner l’ensemble des fonds. C’est donc une catastrophe d’ampleur qu’Arbitrum a évitée, grâce à la veille de ce white hat.
? Pour aller plus loin – Retrouvez notre guide sur les bonnes pratiques pour limiter le risque de hack
Ledger : la meilleure solution pour protéger vos cryptomonnaiesL’importance stratégique des bridges
Par défaut, un actif ne peut exister que sur une seule blokchain. Afin de le faire naviguer d’un réseau à un autre, il faudra pour cela utiliser un bridge. Cette technologie permet de verrouiller des cryptomonnaies dans un smart contract, afin d’en créer une version synthétique sur la chaîne cible.
Pour faire le chemin inverse, ces versions synthétiques sont alors détruites pour libérer leur sous-jacent sur l’autre chaîne. Cela signifie que si le contrat de dépôt est vidé par un acteur malveillant, les actifs bridgés ne valent alors plus rien.
Le fait que de telles applications verrouillent une importance masse monétaire en fait des cibles de choix pour les hackers. Ceci a plusieurs fois été démontré cette année, au travers des attaques sur Ronin, Wormhole, ou plus récemment Horizon Bridge d’Harmony.
C’est pour cela que les différentes applications Web3 proposent des niveaux de primes en fonction des bugs trouvés. Cela permet à des talents de mettre à profit leurs connaissances, pour trouver des failles dans les smart contracts. Ces white hats contribuent ainsi à renforcer la sécurité de l’écosystème, en gagnant des récompenses par le biais d’intermédiaires comme Immunefi.
? Dans l’actualité également – Un market maker subi un hack de 160 millions de dollars et se montre ouvert aux négociations
Cryptoast Research : Ne gâchez pas ce bull run, entourez vous d'expertsSource : riptide
Recevez un récapitulatif de l'actualité crypto chaque lundi par mail 👌
Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.
Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.
Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.
Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.
Je découvre timidement le monde de la blockchain fin 2018 lors de ma quête de liberté financière. D'abord investi modérément, ce n'est que deux ans plus tard que je prends le pari de tout miser sur le mouvement qui se dessine alors. Je consacre ensuite 2021 à mieux me former pour acquérir plus de connaissances et de sérieux. Comme j'aime souvent le dire : j'ai encore un milliard de choses à apprendre. Et ce que je sais, je souhaite le partager avec vous.
Vincent Maire
1166 articles
