Хакер с бяла шапка е открил бъг в най-новата надстройка за Arbitrum, an Ethereum мрежа за мащабиране, което може да доведе до кражба на над 530 милиона долара.
Създателят на Arbitrum OffChain Labs по-рано тази седмица награди хакера, който работи под псевдонима 0xriptide, с награда от 400 ETH (на стойност приблизително $530,000 XNUMX) за споделяне на откритието.
Arbitrum стартира най-новия си ъпгрейд, Nitro, на 31 август, в очакване на сливане на Ethereum, скорошният и дългоочакван преход на мрежата Ethereum от консенсусен механизъм за доказателство за работа към доказателство за залог.
Веднага след стартирането на Arbitrum Nitro, 0xriptide започна да претърсва кода му в търсене на уязвимости, според блог пост подробно описание на откритието.
Мрежи за мащабиране на Ethereum като Арбитрам навигирайте в бавната скорост на Ethereum mainnet и скъпите такси за транзакции чрез „навиване” голямо количество транзакции на Ethereum в отделна верига и след това ги предава обратно към основната мрежа на Ethereum като една транзакция. Това значително увеличава скоростта и достъпността на транзакциите с Ethereum, но също така може да изложи потребителите на уязвимости.
0xriptide откри, че мостът между основната мрежа на Ethereum и Arbitrum Nitro съдържа пропуск, който би позволил на всеки усърден хакер да замени адреса на дестинация на Arbitrum със свой собствен. По същество всички средства, предназначени да потекат от Ethereum в Aribitrum, могат вместо това да бъдат пренасочени направо в портфейла на хакер.
За 0xriptide, хакер може да е манипулирал грешката, за да вземе селективно масивни индивидуални депозити и да избегне откриването, или да източи целия входящ поток от депозити на Arbitrum. В периода между дебюта на Artibrum Nitro в края на август и когато 0xriptide уведоми OffChain Labs за грешката, над 400,000 534 ETH, или $XNUMX милиона при писане, се преместиха в Arbitrum от Ethereum, според данни от Анализ на дюните табло.
0xriptide също отбеляза, че през последните три седмици най-големият единичен депозит в Aribtrum възлиза на 168,000 225 ETH, или XNUMX милиона долара в писмена форма. През този период обаче нито един хакер не е използвал грешката и Arbitrum не е претърпял атаки.
Така наречените крос-верижни мостови атаки като тази, която 0xriptide може да е предотвратила, са твърде често срещани в света на скейлерите на Ethereum. През март Lazarus Group, хакерска група, свързана със Северна Корея, открадна ETH на стойност $622 милиона чрез проникване в Ethereum странична верига бридж, използван от играта play-to-earn Axie Infinity. Същата група спечели 100 милиона долара през юни чрез насочване към друг страничен мост на Ethereum, използван от Harmony Protocol.
След потвърждение на пропуска в Arbitrum Nitro, OffChain Labs изпрати на 0xriptide плащане от 400 ETH, или малко над $530,000 3, чрез webXNUMX платформа за награди за грешки ImmuneFi.
"Благодарим на изключително основателния екип на Arbitrum за осигуряването на награда от 400 ETH и разбира се за създаването на невероятна технологична иновация с тяхното внедряване на L2,” 0xriptide написа в понеделник.
Хакерът обаче може да се е замислил за стойността на своето откритие. Във вторник те написаха в Туитър, че предвид стотиците милиони долари спестени, Arbitrum можеше да бъде по-щедър:
Бъдете в крак с крипто новините, получавайте ежедневни актуализации във входящата си поща.
Източник: https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro