Hacker s bielym klobúkom objavil chybu v rámci poslednej aktualizácie pre Arbitrum, an Ethereum škálovacej siete, čo mohlo viesť ku krádeži viac ako 530 miliónov dolárov.
Tvorca arbitráže OffChain Labs začiatkom tohto týždňa odmenil hackera, ktorý vystupuje pod pseudonymom 0xriptid, s odmenou 400 ETH (v hodnote približne 530,000 XNUMX USD) za zdieľanie objavu.
Arbitrum spustilo svoju najnovšiu aktualizáciu, Nitro, 31. augusta v očakávaní zlúčenie etherea, nedávny a dlho očakávaný prechod siete Ethereum z mechanizmu konsenzu overovania práce na dôkaz o vklade.
Okamžite po spustení Arbitrum Nitro začal 0xriptide prehľadávať svoj kód a hľadať akékoľvek zraniteľnosti. blog post s podrobnosťami o objave.
Ethereum škálovacie siete ako Arbitráž prechádzať pomalou rýchlosťou a nákladnými transakčnými poplatkami siete Ethereum pomocou „zrolovať“veľké množstvo transakcií Ethereum v samostatnom reťazci a ich následné odovzdanie späť do hlavnej siete Ethereum ako jedna transakcia. Tým sa výrazne zvyšuje rýchlosť a cenová dostupnosť transakcií Ethereum, ale môže to tiež vystaviť používateľov zraniteľným miestam.
Spoločnosť 0xriptide zistila, že most medzi sieťou Ethereum a Arbitrum Nitro obsahuje chybu, ktorá umožní každému pracovitému hackerovi nahradiť cieľovú adresu Arbitrum svojou vlastnou. V podstate akékoľvek prostriedky, ktoré majú prúdiť z Etherea do Aribitrum, by mohli byť namiesto toho presmerované priamo do peňaženky hackera.
Na 0xriptide mohol hacker zmanipulovať chybu tak, aby buď selektívne vyberal masívne jednotlivé vklady a vyhýbal sa detekcii, alebo odčerpal celý prichádzajúci tok vkladov Arbitrum. V období medzi debutom Artibrum Nitro koncom augusta a keď 0xriptide oznámilo chybu OffChain Labs, viac ako 400,000 534 ETH, alebo XNUMX miliónov dolárov pri zápise, sa podľa údajov z Etherea presunulo do Arbitrum z Etherea. Analýza dún Prístrojová doska.
0xriptide tiež poznamenal, že za posledné tri týždne dosiahol najväčší jednotlivý vklad do Aribtrum 168,000 225 ETH alebo XNUMX miliónov dolárov pri zápise. V tomto období však žiadny hacker túto chybu nezneužil a Arbitrum neutrpelo žiadne útoky.
Takzvané cross-chain bridge útoky, ako je ten, ktorému mohol zabrániť 0xriptide, sú vo svete škálovačov Ethereum až príliš bežné. V marci Lazarus Group, hackerská skupina pridružená k Severnej Kórei, ukradol ETH v hodnote 622 miliónov dolárov infiltráciou do Etherea postranné most, ktorý používa hra Axie Infinity na zarábanie. Tá istá skupina v júni zarobil 100 miliónov dolárov zacielením na ďalší Ethereum sidechain bridge využívaný protokolom Harmony Protocol.
Po potvrdení chyby v Arbitrum Nitro poslali OffChain Labs 0xriptide platbu vo výške 400 ETH, alebo niečo cez 530,000 3 $, cez webXNUMX bug bounty platformu ImmuneFi.
"Ďakujem mimoriadne založenému tímu Arbitrum za poskytnutie odmeny 400 ETH a samozrejme za vytvorenie neuveriteľného kusu technologickej inovácie s ich implementáciou L2,“ 0xriptide napísal v pondelok.
Hacker si však mohol rozmyslieť, akú hodnotu má ich objav. V utorok tweetovali, že vzhľadom na ušetrené stovky miliónov dolárov mohlo byť Arbitrum štedrejšie:
Majte prehľad o krypto správach, dostávajte denné aktualizácie do svojej doručenej pošty.
Zdroj: https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro