Valkohattu hakkeri on havainnut vian Arbitrumin viimeisimmässä päivityksessä Ethereum skaalausverkko, joka olisi voinut johtaa yli 530 miljoonan dollarin varkauksiin.
Arbitumin rakentaja OffChain Labs palkitsi aiemmin tällä viikolla hakkerin, joka toimii salanimellä 0xriptide400 ETH:n (arvoltaan noin 530,000 XNUMX dollaria) palkkion löydön jakamisesta.
Arbitrum julkaisi viimeisimmän päivityksen, Nitro, 31. elokuuta, ennakoiden Ethereumin yhdistäminen, Ethereum-verkon äskettäinen ja kauan odotettu siirtyminen työn todisteiden konsensusmekanismista todiste panoksesta.
Heti Arbitrum Nitron julkaisun jälkeen 0xriptide alkoi tutkia koodiaan etsiäkseen haavoittuvuuksia. blogi löydön yksityiskohdat.
Ethereum skaalaus verkot, kuten välimiesmenettely navigoi Ethereumin pääverkon hitaassa nopeudessa ja kalliissa transaktiomaksuissa "ylöspäin” suuri määrä Ethereum-tapahtumia erillisessä ketjussa ja välittää ne sitten takaisin Ethereum-verkkoon yhtenä tapahtumana. Tämä lisää Ethereum-tapahtumien nopeutta ja kohtuuhintaisuutta huomattavasti, mutta se voi myös altistaa käyttäjät haavoittuvuuksille.
0xriptide havaitsi, että Ethereumin verkkoverkon ja Arbitrum Nitron välinen silta sisälsi virheen, jonka ansiosta jokainen ahkera hakkeri voisi korvata Arbitumin kohdeosoitteen omalla osoitteellaan. Pohjimmiltaan kaikki Ethereumista Aribitrumiin virtaavat varat voitaisiin sen sijaan ohjata suoraan hakkerin lompakkoon.
0xriptidea kohden hakkeri olisi voinut manipuloida virhettä joko valikoivasti poimia massiivisia yksittäisiä talletuksia ja välttääkseen havaitsemisen tai poistaa Arbitumin koko saapuvan talletusvirran. Artibrum Nitron elokuun lopulla tapahtuneen debyytin ja 0xriptide ilmoitti OffChain Labsille virheestä välisenä aikana, yli 400,000 534 ETH:ta eli XNUMX miljoonaa dollaria kirjoitettaessa, siirrettiin Arbitrumiin Ethereumista saadun tiedon mukaan. Dyyni-analyysi kojelautaan.
0xriptide totesi myös, että viimeisen kolmen viikon aikana suurin yksittäinen talletus Aribtrumiin oli 168,000 225 ETH eli XNUMX miljoonaa dollaria kirjoitettaessa. Tänä aikana yksikään hakkeri ei kuitenkaan käyttänyt vikaa hyväkseen, eikä Arbitrum joutunut hyökkäyksiin.
Niin sanotut ketjujen väliset siltahyökkäykset, kuten 0xriptide on ehkä estänyt, ovat aivan liian yleisiä Ethereum-skaalauslaitteiden maailmassa. Maaliskuussa Lazarus Group, Pohjois-Koreaan sidoksissa oleva hakkerointiryhmä, varasti ETH: n 622 miljoonan dollarin arvosta soluttautumalla Ethereumiin sivuketju Axie Infinity -pelissä käyttämä silta. Sama ryhmä sai kesäkuussa 100 miljoonaa dollaria kohdistamalla toiseen Ethereumin sivuketjusiltaan, jota Harmony Protocol käyttää.
Kun Arbitrum Nitron virhe vahvistettiin, OffChain Labs lähetti 0xriptidelle 400 ETH:n eli hieman yli 530,000 3 dollarin maksun webXNUMX-bug bounty -alustan kautta. ImmuneFi.
"Kiitos erittäin pohjautuneelle Arbitrum-tiimille 400 ETH:n palkkion tarjoamisesta ja tietysti uskomattoman teknologisen innovaation luomisesta L2-toteutuksensa avulla. 0xriptide kirjoitti maanantaina.
Hakkeri saattoi kuitenkin keksiä toisenlaisia ajatuksia löytönsä arvosta. Tiistaina he twiittasivat, että ottaen huomioon satojen miljoonien dollarien säästöt, Arbitrum olisi voinut olla anteliaampi:
Pysy ajan tasalla kryptouutisista, saat päivittäiset päivitykset postilaatikkoosi.
Lähde: https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro