Хакер со бела капа откри грешка во најновата надградба за Arbitrum, а Ethereum скалирање мрежа, што можеше да доведе до кражба на над 530 милиони долари.
Градителот на Arbitrum OffChain Labs претходно оваа недела го награди хакерот, кој работи под псевдонимот 0xriptide, со распродажба од 400 ETH (во вредност од приближно 530,000 американски долари) за споделување на откритието.
Arbitrum ја започна својата најнова надградба, Nitro, на 31 август, во пресрет на Спојување на Ethereum, неодамнешната и многу очекувана транзиција на мрежата Ethereum од механизам за консензус за доказ за работа до доказ за влог.
Веднаш по лансирањето на Arbitrum Nitro, 0xriptide почна да го пребарува својот код во потрага по какви било пропусти, според блог пост со детали за откритието.
Мрежите за скалирање на Ethereum како Арбитрам навигирајте ги бавната брзина на главната мрежа на Ethereum и скапите такси за трансакции со „навивам“ големо количество трансакции на Ethereum на посебен синџир и потоа нивно пренесување назад во главната мрежа на Ethereum како една трансакција. Со тоа значително се зголемува брзината и достапноста на трансакциите со Ethereum, но исто така може да ги изложи корисниците на ранливости.
0xriptide откри дека мостот помеѓу главната мрежа на Ethereum и Arbitrum Nitro содржи пропуст што ќе му овозможи на секој вреден хакер да ја замени дестинацијата на Arbitrum со своја. Во суштина, сите средства наменети да течат од Ethereum во Aribitrum наместо тоа, може да се пренасочат директно во паричникот на хакерите.
Според 0xriptide, хакер би можел да манипулира со бубачката за или селективно да одбере масивни поединечни депозити и да избегне откривање, или да го исфрли целиот проток на дојдовни депозити на Arbitrum. Во периодот помеѓу дебито на Artibrum Nitro кон крајот на август и кога 0xriptide ги извести OffChain Labs за бубачката, над 400,000 ETH, или 534 милиони долари при пишување, се преселиле во Arbitrum од Ethereum, според податоците од Дина аналитика табла.
0xriptide, исто така, забележа дека во последните три недели, најголемиот поединечен депозит на Aribtrum изнесува 168,000 ETH, или 225 милиони долари при пишување. Во тој период, сепак, ниту еден хакер не ја искористил грешката, а Arbitrum не претрпел никакви напади.
Таканаречените напади на мост со вкрстени синџири, како оној што можеби го спречил 0xriptide, се премногу чести во светот на скалерите на Ethereum. Во март, Лазар Груп, хакерска група поврзана со Северна Кореја, украл ETH вреден 622 милиони долари со инфилтрирање на Ethereum sidechain мост што се користи од играта за заработка Axie Infinity. Истата група заработи 100 милиони долари во јуни со таргетирање на друг Ethereum страничен мост користен од Harmony Protocol.
По потврдата на пропустот во Arbitrum Nitro, OffChain Labs испрати 0xriptide исплата од 400 ETH, или нешто повеќе од 530,000 долари, преку веб3 платформата за баунти за грешки. ImmuneFi.
"Благодарност до екстремно базираниот тим на Arbitrum што обезбеди награда од 400 ETH и секако за создавање неверојатна технолошка иновација со нивната имплементација L2. 0xriptide напиша во понеделникот.
Меѓутоа, хакерот можеби развил втори мисли за вредноста на нивното откритие. Во вторникот тие твитнаа дека, со оглед на заштедените стотици милиони долари, Арбитрум можел да биде подарежлив:
Останете на врвот на крипто вестите, добивајте дневни ажурирања во вашето сандаче.
Извор: https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro