Un hacker cu pălărie albă a descoperit o eroare în cea mai recentă actualizare pentru Arbitrum, an Ethereum scaling network, care ar fi putut duce la furtul a peste 530 de milioane de dolari.
Constructorul Arbitrum, OffChain Labs, la începutul acestei săptămâni, l-a recompensat pe hacker, care operează sub pseudonimul 0xriptide, cu o recompensă de 400 ETH (în valoare de aproximativ 530,000 USD) pentru împărtășirea descoperirii.
Arbitrum și-a lansat cel mai recent upgrade, Nitro, pe 31 august, în așteptarea fuziune Ethereum, tranziția recentă și mult așteptată a rețelei Ethereum de la un mecanism de consens de dovadă a muncii la dovada mizei.
Imediat după lansarea Arbitrum Nitro, 0xriptide a început să-și cerceteze codul în căutarea oricăror vulnerabilități, potrivit unui blog detaliind descoperirea.
Rețele de scalare Ethereum, cum ar fi Arbitrul navigați prin viteza lentă și taxele costisitoare ale rețelei principale Ethereum până la „suflecand; ruland” o cantitate mare de tranzacții Ethereum pe un lanț separat și apoi retransmiterea lor înapoi către rețeaua principală Ethereum ca o singură tranzacție. Acest lucru crește în mod substanțial viteza și accesibilitatea tranzacțiilor Ethereum, dar poate expune și utilizatorii la vulnerabilități.
0xriptide a descoperit că puntea dintre rețeaua principală Ethereum și Arbitrum Nitro conținea un defect care ar permite oricărui hacker harnic să înlocuiască adresa de destinație a Arbitrum cu propria lor. În esență, orice fonduri menite să circule de la Ethereum în Aribitrum ar putea fi redirecționate direct în portofelul unui hacker.
Pe 0xriptide, un hacker ar fi putut manipula bug-ul fie pentru a elimina selectiv depozitele individuale masive și pentru a evita detectarea, fie pentru a elimina întregul flux de depozit de intrare al Arbitrum. În perioada dintre debutul lui Artibrum Nitro la sfârșitul lunii august și când 0xriptide a notificat OffChain Labs despre eroare, peste 400,000 ETH, sau 534 milioane USD la scriere, s-au mutat în Arbitrum din Ethereum, conform datelor de la un Dune Analytics tabloul de bord.
0xriptide a remarcat, de asemenea, că în ultimele trei săptămâni, cel mai mare depozit unic către Aribtrum s-a ridicat la 168,000 ETH, sau 225 de milioane de dolari la scriere. În acea perioadă, însă, niciun hacker nu a exploatat bug-ul, iar Arbitrum nu a suferit niciun atac.
Așa-numitele atacuri cross-chain bridge, cum ar fi cel pe care 0xriptide l-ar fi prevenit, sunt prea frecvente în lumea scalerilor Ethereum. În martie, Lazarus Group, un grup de hacking afiliat Coreei de Nord, a furat ETH în valoare de 622 milioane de dolari prin infiltrarea într-un Ethereum catenă laterală punte folosită de jocul play-to-earn Axie Infinity. Același grup a scos 100 de milioane de dolari în iunie prin țintirea unui alt pod Ethereum sidechain utilizat de Harmony Protocol.
După confirmarea defectului din Arbitrum Nitro, OffChain Labs a trimis lui 0xriptide o plată de 400 ETH, sau puțin peste 530,000 USD, prin platforma web3 de recompense pentru erori. ImuneFi.
Mulțumim echipei Arbitrum pentru că a oferit o recompensă de 400 ETH și, desigur, pentru că a creat o inovație tehnologică incredibilă cu implementarea lor L2.” 0xriptide a scris luni.
Totuși, hackerul poate să fi dezvoltat gânduri secundare cu privire la valoarea descoperirii lor. Marți, au postat pe Twitter că, având în vedere sutele de milioane de dolari economisite, Arbitrum ar fi putut fi mai generos:
Fiți la curent cu știrile cripto, primiți actualizări zilnice în căsuța dvs. de e-mail.
Sursa: https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro