Baltos kepurės įsilaužėlis aptiko klaidą naujausiame Arbitrum atnaujinime, an Ethereum mastelio keitimo tinklą, dėl kurio galėjo pavogti daugiau nei 530 mln.
Arbitrum statybininkas „OffChain Labs“ anksčiau šią savaitę apdovanojo įsilaužėlį, kuris veikia slapyvardžiu 0xriptide, su 400 ETH premija (maždaug 530,000 XNUMX USD vertės) už dalijimąsi atradimu.
Rugpjūčio 31 d. Arbitrum pristatė naujausią naujinimą „Nitro“, tikėdamasis Ethereum susiliejimas, Ethereum tinklo neseniai ir ilgai lauktas perėjimas nuo darbo įrodymo konsensuso mechanizmo prie akcijų paketo įrodymas.
Iš karto po Arbitrum Nitro paleidimo, 0xriptide pradėjo tirti savo kodą, ieškodama pažeidžiamumų. dienoraštyje detalizuojantis atradimą.
Ethereum mastelio keitimo tinklai, tokie kaip Arbitrumas naršykite „Ethereum“ tinklo lėtą greitį ir brangius operacijų mokesčius naudodami „suvynioti“ didelis kiekis Ethereum operacijų atskiroje grandinėje ir tada perduodamas atgal į Ethereum pagrindinį tinklą kaip vieną operaciją. Tai žymiai padidina Ethereum operacijų greitį ir įperkamumą, bet taip pat gali atskleisti vartotojams pažeidžiamumą.
0xriptide išsiaiškino, kad tiltas tarp Ethereum mainneto ir Arbitrum Nitro turi trūkumą, kuris leistų bet kuriam darbščiam įsilaužėliui pakeisti Arbitrum paskirties adresą savo. Iš esmės bet kokios lėšos, skirtos iš Ethereum patekti į Aribitrum, galėtų būti nukreiptos tiesiai į įsilaužėlių piniginę.
Per 0xriptide įsilaužėlis galėjo manipuliuoti klaida, kad pasirinktų didžiulius atskirus nuosėdas ir išvengtų aptikimo, arba pašalintų visą Arbitrum gaunamų indėlių srautą. Laikotarpiu nuo „Artibrum Nitro“ debiuto rugpjūčio pabaigoje ir tada, kai „0xriptide“ pranešė „OffChain Labs“ apie klaidą, daugiau nei 400,000 534 ETH arba XNUMX mln. „Dune Analytics“ prietaisų skydelis.
0xriptide taip pat pažymėjo, kad per pastarąsias tris savaites didžiausias pavienis indėlis į Aribtrum sudarė 168,000 225 ETH arba XNUMX mln. Tačiau tuo laikotarpiu nė vienas įsilaužėlis neišnaudojo klaidos, o Arbitrum nepatyrė jokių atakų.
Vadinamosios kryžminės grandinės tilto atakos, tokios, kokių galėjo išvengti 0xriptide, Ethereum skalerių pasaulyje yra pernelyg dažnos. Kovo mėnesį su Šiaurės Korėja susijusi programišių grupė „Lazarus Group“ pavogė ETH už 622 mln įsiskverbdamas į Ethereum sidechain tiltas, naudojamas žaidimo „Axie Infinity“ žaidime. Ta pati grupė birželį uždirbo 100 mln taikydamas kitą Ethereum šoninės grandinės tiltą, naudojamą Harmony Protocol.
Patvirtinus „Arbitrum Nitro“ trūkumą, „OffChain Labs“ išsiuntė „0xriptide“ 400 ETH arba šiek tiek daugiau nei 530,000 3 USD mokėjimą per „webXNUMX bug bounty“ platformą. ImmuneFi.
"Dėkojame labai gerai dirbančiai „Arbitrum“ komandai už 400 ETH premiją ir, žinoma, už neįtikėtiną technologinių naujovių kūrimą įgyvendinant L2. 0xriptide rašė pirmadienį.
Tačiau įsilaužėlis galėjo susimąstyti apie savo atradimo vertę. Antradienį jie tviteryje paskelbė, kad, atsižvelgiant į šimtus milijonų sutaupytų dolerių, Arbitrum galėjo būti dosnesnis:
Sekite kriptovaliutų naujienas, gaukite kasdienius atnaujinimus savo pašto dėžutėje.
Šaltinis: https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro