Хакер в белой шляпе обнаружил ошибку в последнем обновлении для Arbitrum, Эфириум масштабирование сети, что могло привести к краже более 530 миллионов долларов.
Создатель Arbitrum OffChain Labs ранее на этой неделе наградил хакера, работающего под псевдонимом 0xriptide, с вознаграждением в размере 400 ETH (стоимостью около 530,000 XNUMX долларов США) за то, что он поделился открытием.
Компания Arbitrum запустила свое последнее обновление Nitro 31 августа в преддверии слияние Эфириума, недавний и долгожданный переход сети Ethereum от механизма консенсуса Proof-of-Work к Доказательство доли.
Сразу же после запуска Arbitrum Nitro 0xriptide начала рыскать в его коде в поисках уязвимостей. блоге подробное описание открытия.
Сети масштабирования Ethereum, такие как арбитум ориентироваться в медленной скорости основной сети Ethereum и высоких комиссиях за транзакции с помощью «засучив«большое количество транзакций Ethereum в отдельной цепочке, а затем ретрансляция их обратно в основную сеть Ethereum как единая транзакция. Это существенно увеличивает скорость и доступность транзакций Ethereum, но также может подвергнуть пользователей уязвимостям.
0xriptide обнаружил, что мост между основной сетью Ethereum и Arbitrum Nitro содержит уязвимость, которая позволяет любому трудолюбивому хакеру заменить адрес назначения Arbitrum своим собственным. По сути, любые средства, предназначенные для перевода из Ethereum в Aribitrum, вместо этого могут быть перенаправлены прямо в кошелек хакера.
Согласно 0xriptide, хакер мог манипулировать ошибкой, чтобы либо выборочно снимать крупные отдельные депозиты и избегать обнаружения, либо перекачивать весь входящий поток депозитов Arbitrum. Согласно данным из Дюна Аналитика панель приборов.
0xriptide также отметил, что за последние три недели крупнейший разовый депозит в Aribtrum составил 168,000 225 ETH, или XNUMX миллионов долларов на момент написания статьи. Однако в тот период ни один хакер не воспользовался ошибкой, и Arbitrum не подвергался атакам.
Так называемые межсетевые мостовые атаки, подобные той, которую, возможно, предотвратил 0xriptide, слишком распространены в мире масштабаторов Ethereum. В марте хакерская группа Lazarus Group, связанная с Северной Кореей, украл ETH на 622 миллионов долларов путем проникновения в Ethereum боковая цепь мост, используемый игрой для заработка Axie Infinity. Та самая группа похитил 100 миллионов долларов в июне нацелившись на другой мост боковой цепи Ethereum, используемый протоколом Harmony.
После подтверждения недостатка в Arbitrum Nitro OffChain Labs отправила 0xriptide платеж в размере 400 ETH или чуть более 530,000 3 долларов США через платформу вознаграждения за обнаружение ошибок webXNUMX. ИммунныйFi.
Спасибо чрезвычайно сильной команде Arbitrum за предоставление вознаграждения в размере 400 ETH и, конечно же, за создание невероятного технологического новшества с их реализацией L2». 0xriptide написал в понедельник.
Однако хакер, возможно, задумался о ценности своего открытия. Во вторник они написали в Твиттере, что, учитывая сэкономленные сотни миллионов долларов, Arbitrum мог бы быть более щедрым:
Будьте в курсе крипто-новостей, получайте ежедневные обновления на свой почтовый ящик.
Источник: https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro.