Egy fehérkalapos hacker hibát fedezett fel az Arbitrum legújabb frissítésében, an Ethereum skálázó hálózat, ami több mint 530 millió dollár ellopásához vezethetett volna.
Az Arbitrum építője, az OffChain Labs a hét elején jutalmazta az álnéven tevékenykedő hackert 0xriptide400 ETH jutalommal (körülbelül 530,000 XNUMX dollár értékben) a felfedezés megosztásáért.
Az Arbitrum augusztus 31-én indította útjára legújabb frissítését, a Nitro-t, hogy megelőzze a Ethereum egyesítés, az Ethereum hálózat közelmúltbeli és régóta várt átállása a munka bizonyítása konszenzusos mechanizmusáról a tét igazolása.
Közvetlenül az Arbitrum Nitro elindítása után a 0xriptide elkezdte átvizsgálni a kódját, hogy felkutassa a biztonsági réseket. blogbejegyzés részletezi a felfedezést.
Ethereum skálázó hálózatok, mint választottbíróság navigáljon az Ethereum mainnet lassú sebessége és költséges tranzakciós díjai között a "felteker” nagy mennyiségű Ethereum-tranzakciót külön láncon, majd egyetlen tranzakcióként visszaküldi az Ethereum főhálózatára. Ez jelentősen megnöveli az Ethereum-tranzakciók sebességét és megfizethetőségét, de a felhasználókat sebezhető pontoknak is kitéve.
A 0xriptide felfedezte, hogy az Ethereum mainnet és az Arbitrum Nitro közötti híd olyan hibát tartalmaz, amely lehetővé tette bármely szorgalmas hacker számára, hogy az Arbitrum célcímét a sajátjával cserélje le. Lényegében az Ethereumból az Aribitrumba áramló pénzeszközöket egyenesen egy hacker pénztárcájába lehetne irányítani.
0xriptide-onként a hacker manipulálhatta a hibát, hogy vagy szelektíven vegye ki a hatalmas egyedi lerakódásokat, és elkerülje az észlelést, vagy kiszipolyozhatta volna az Arbitrum teljes bejövő betétfolyamát. Az Artibrum Nitro augusztus végi debütálása és amikor a 0xriptide értesítette az OffChain Labs-ot a hibáról, több mint 400,000 534 ETH, vagyis íráskor XNUMX millió dollár költözött az Arbitrumba az Ethereumból, egy cég adatai szerint. Dune Analytics műszerfal.
A 0xriptide azt is megjegyezte, hogy az elmúlt három hétben az Aribtrumnál a legnagyobb egyedi befizetés 168,000 225 ETH-t tett ki, ami íráskor XNUMX millió dollárt jelent. Ebben az időszakban azonban egyetlen hacker sem használta ki a hibát, és az Arbitrum nem szenvedett támadásokat.
Az úgynevezett cross-chain bridge támadások, mint amilyet a 0xriptide megakadályozhatott, túlságosan gyakoriak az Ethereum skálázók világában. Márciusban a Lazarus Group, egy észak-koreai kötődésű hackercsoport, 622 millió dollár értékű ETH-t lopott el beszivárogva egy Ethereumba oldallánc A híd, amelyet az Axie Infinity játékban használt keresni akar. Ugyanaz a csoport júniusban 100 millió dollárt kapott egy másik, a Harmony Protocol által használt Ethereum oldallánc-híd megcélzásával.
Az Arbitrum Nitro hibájának megerősítésekor az OffChain Labs 0 ETH-t, azaz valamivel több mint 400 530,000 dollárt küldött a 3xriptide-nek a webXNUMX hibajavító platformon keresztül. ImmuneFi.
"Köszönet a rendkívül alapos Arbitrum csapatnak, hogy 400 ETH jutalmat biztosítottak, és természetesen egy hihetetlen technológiai innovációt hoztak létre az L2 implementációjukkal.” 0xriptide írta hétfőn.
A hacker azonban más gondolatokat fogalmazott meg felfedezésük értékével kapcsolatban. Kedden a Twitteren azt írták, hogy a megtakarított több száz millió dollárt figyelembe véve az Arbitrum lehetett volna bőkezűbb is:
Maradjon naprakész a kriptográfiai hírekkel, és napi frissítéseket kaphat a postaládájában.
Forrás: https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro