Haker z białym kapeluszem odkrył błąd w najnowszej aktualizacji Arbitrum, a Ethereum skalowanie sieci, które mogło doprowadzić do kradzieży ponad 530 milionów dolarów.
Twórca Arbitrum OffChain Labs na początku tego tygodnia nagrodził hakera, który działa pod pseudonimem 0xriptyd, z nagrodą w wysokości 400 ETH (o wartości około 530,000 XNUMX USD) za udostępnienie odkrycia.
Arbitrum uruchomiło swoją najnowszą aktualizację, Nitro, 31 sierpnia, w oczekiwaniu na Połączenie Ethereum, niedawne i długo oczekiwane przejście sieci Ethereum z mechanizmu konsensusu opartego na weryfikacji pracy do dowód stawki.
Natychmiast po uruchomieniu Arbitrum Nitro, 0xriptide zaczął przeszukiwać swój kod w poszukiwaniu jakichkolwiek luk w zabezpieczeniach. blogu szczegółowo opisując odkrycie.
Sieci skalujące Ethereum, takie jak arbitraż poruszaj się po niskiej prędkości sieci głównej Ethereum i kosztownych opłatach transakcyjnych przez „zwijanie„duża liczba transakcji Ethereum w oddzielnym łańcuchu, a następnie przekazywanie ich z powrotem do sieci głównej Ethereum jako pojedyncza transakcja. Takie postępowanie znacznie zwiększa szybkość i przystępność transakcji Ethereum, ale może również narazić użytkowników na luki w zabezpieczeniach.
Firma 0xriptide odkryła, że pomost między siecią główną Ethereum a Arbitrum Nitro zawiera lukę, która pozwala każdemu pracowitemu hakerowi zastąpić adres docelowy Arbitrum własnym. Zasadniczo wszelkie środki, które mają płynąć z Ethereum do Aribitrum, mogą zostać przekierowane bezpośrednio do portfela hakera.
W przypadku 0xriptide haker mógł zmanipulować błąd, aby albo selektywnie odebrać ogromne pojedyncze depozyty i uniknąć wykrycia, albo odprowadzić cały strumień przychodzących depozytów Arbitrum. W okresie między debiutem Artibrum Nitro pod koniec sierpnia, a kiedy 0xriptide powiadomił OffChain Labs o błędzie, ponad 400,000 534 ETH, czyli XNUMX miliony dolarów na piśmie, przeszło do Arbitrum z Ethereum, zgodnie z danymi z Analiza wydm deska rozdzielcza.
0xriptide zauważył również, że w ciągu ostatnich trzech tygodni największy pojedynczy depozyt na rzecz Aribtrum wyniósł 168,000 225 ETH, czyli XNUMX milionów dolarów przy zapisie. Jednak w tym okresie żaden haker nie wykorzystał błędu, a Arbitrum nie doznało żadnych ataków.
Tak zwane ataki typu cross-chain bridge, takie jak ten, któremu mógł zapobiec 0xriptide, są zbyt powszechne w świecie skalerów Ethereum. W marcu Lazarus Group, grupa hakerska związana z Koreą Północną, ukradł ETH o wartości 622 milionów dolarów poprzez infiltrację Ethereum łańcuch boczny most używany przez grę Axie Infinity. Ta sama grupa zmarnowany z 100 milionami dolarów w czerwcu celując w inny mostek łańcucha bocznego Ethereum używany przez protokół Harmony.
Po potwierdzeniu błędu w Arbitrum Nitro, OffChain Labs wysłał 0xriptide płatność w wysokości 400 ETH, czyli nieco ponad 530,000 3 $, za pośrednictwem platformy webXNUMX bug bounty Odporny.
"Dziękuję niezwykle opartemu zespołowi Arbitrum za dostarczenie nagrody w wysokości 400 ETH i oczywiście za stworzenie niesamowitej innowacji technologicznej dzięki wdrożeniu L2” 0xriptide napisał w poniedziałek.
Jednak haker mógł mieć wątpliwości co do wartości swojego odkrycia. We wtorek napisali na Twitterze, że biorąc pod uwagę zaoszczędzone setki milionów dolarów, Arbitrum mogło być bardziej hojne:
Bądź na bieżąco z wiadomościami o kryptowalutach, otrzymuj codzienne aktualizacje w swojej skrzynce odbiorczej.
Źródło: https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro