Хакер із білим капелюхом виявив помилку в останньому оновленні Arbitrum, an Ethereum масштабування мережі, що могло призвести до крадіжки понад 530 мільйонів доларів США.
Конструктор Arbitrum OffChain Labs раніше цього тижня винагородив хакера, який працює під псевдонімом 0xriptide, з нагородою в 400 ETH (вартістю приблизно 530,000 XNUMX доларів США) за те, що ви поділитеся відкриттям.
Arbitrum запустив своє останнє оновлення Nitro 31 серпня в очікуванні злиття Ethereum, нещодавній і довгоочікуваний перехід мережі Ethereum від консенсусного механізму підтвердження роботи до доказ ставки.
Згідно з блог деталізація відкриття.
Такі мережі масштабування Ethereum Арбітраж керуйтеся низькою швидкістю основної мережі Ethereum і дорогими комісіями за транзакції за допомогою «згортання” велика кількість транзакцій Ethereum в окремому ланцюжку, а потім передача їх назад у основну мережу Ethereum як одна транзакція. Це значно підвищує швидкість і доступність транзакцій Ethereum, але також може наражати користувачів на вразливість.
0xriptide виявив, що міст між основною мережею Ethereum і Arbitrum Nitro містить недолік, який дозволить будь-якому старанному хакеру замінити адресу призначення Arbitrum своєю власною. По суті, будь-які кошти, призначені для надходження з Ethereum в Aribitrum, можуть бути перенаправлені прямо в гаманець хакера.
Згідно з 0xriptide, хакер міг маніпулювати помилкою, щоб або вибірково зібрати великі індивідуальні депозити та уникнути виявлення, або перекачати весь вхідний потік депозитів Arbitrum. У період між дебютом Artibrum Nitro наприкінці серпня та коли 0xriptide повідомив OffChain Labs про помилку, згідно з даними з Аналітика дюн приладова панель.
0xriptide також зазначив, що за останні три тижні найбільший одноразовий депозит на Aribtrum склав 168,000 225 ETH, або XNUMX мільйонів доларів США на письмовій основі. Однак у той період жоден хакер не скористався цією помилкою, і Arbitrum не зазнав жодних атак.
Так звані міжланцюгові бридж-атаки, подібні до тієї, яку міг запобігти 0xriptide, надто поширені у світі масштабувальників Ethereum. У березні Lazarus Group, афілійована з Північною Кореєю хакерська група, вкрав ETH на суму 622 мільйонів доларів шляхом проникнення в Ethereum сайдчейн бридж, який використовується в грі Axie Infinity для заробітку. Та сама група забрав 100 мільйонів доларів у червні шляхом націлювання на інший міст сайдчейну Ethereum, який використовується протоколом Harmony.
Після підтвердження недоліку в Arbitrum Nitro OffChain Labs надіслала 0xriptide платіж у розмірі 400 ETH, або трохи більше 530,000 3 доларів США, через платформу винагород за помилки webXNUMX ImmuneFi.
"Дякуємо команді Arbitrum за винагороду в розмірі 400 ETH і, звісно, за створення неймовірної технологічної інновації за допомогою впровадження L2», 0xriptide написав у понеділок.
Проте хакер, можливо, задумався про цінність свого відкриття. У вівторок вони написали у Твіттері, що, враховуючи заощаджені сотні мільйонів доларів, Arbitrum міг би бути більш щедрим:
Будьте в курсі криптовалютних новин, отримуйте щоденні оновлення на свою поштову скриньку.
Джерело: https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro