Beli heker je odkril hrošč v najnovejši nadgradnji za Arbitrum, an Ethereum skaliranja omrežja, ki bi lahko vodilo do kraje več kot 530 milijonov dolarjev.
Graditelj Arbitrum OffChain Labs je v začetku tega tedna nagradil hekerja, ki deluje pod psevdonimom 0xriptide, z nagrado 400 ETH (v vrednosti približno 530,000 $) za deljenje odkritja.
Arbitrum je svojo zadnjo nadgradnjo, Nitro, lansiral 31. avgusta v pričakovanju združitev Ethereuma, nedavni in težko pričakovani prehod omrežja Ethereum z mehanizma soglasja o dokazovanju dela na dokazilo o vložku.
Takoj po lansiranju Arbitrum Nitro je 0xriptide začel brskati po njegovi kodi v iskanju morebitnih ranljivosti, glede na blog post s podrobnostmi o odkritju.
Omrežja za skaliranje Ethereuma, kot so arbitražo krmarite po počasni hitrosti glavnega omrežja Ethereum in dragih provizijah za transakcije tako, dazvijanje” velika količina transakcij Ethereum v ločeni verigi in njihovo nato posredovanje nazaj v glavno omrežje Ethereum kot ena transakcija. S tem se bistveno povečata hitrost in dostopnost transakcij Ethereum, vendar lahko uporabnike tudi izpostavi ranljivostim.
0xriptide je odkril, da je most med glavnim omrežjem Ethereum in Arbitrum Nitro vseboval napako, ki bi vsakemu marljivemu hekerju omogočila zamenjavo ciljnega naslova Arbitrum s svojim. V bistvu bi lahko vsa sredstva, ki naj bi pritekla iz Ethereuma v Aribitrum, preusmerila naravnost v denarnico hekerja.
Glede na 0xriptide bi lahko heker manipuliral s hroščem tako, da bodisi selektivno pobere ogromne posamezne vloge in se izogne odkritju, ali pa izloči Arbitrumov celoten vhodni tok vlog. V obdobju med prvim nastopom Artibrum Nitro konec avgusta in ko je 0xriptide obvestil OffChain Labs o napaki, se je po podatkih iz Dune Analytics armaturna plošča.
0xriptide je tudi opozoril, da je v zadnjih treh tednih največji posamezen depozit pri Aribtrumu znašal 168,000 ETH ali 225 milijonov dolarjev ob pisni obliki. Vendar v tem obdobju noben heker ni izkoristil hrošča in Arbitrum ni bil deležen nobenih napadov.
Tako imenovani napadi medverižnih mostov, kot je tisti, ki ga je morda preprečil 0xriptide, so v svetu skalerjev Ethereum vse preveč pogosti. Marca je Lazarus Group, hekerska skupina, povezana s Severno Korejo, ukradel ETH v vrednosti 622 milijonov dolarjev z infiltracijo v Ethereum stransko verigo most, ki ga uporablja igra "play-to-earn" Axie Infinity. Ta ista skupina junija pobral 100 milijonov dolarjev s ciljanjem na drug Ethereum stranski most, ki ga uporablja Harmony Protocol.
Po potrditvi napake v Arbitrum Nitro je OffChain Labs poslal podjetju 0xriptide plačilo v višini 400 ETH ali nekaj več kot 530,000 USD prek platforme web3 bug bounty. ImmuneFi.
"Hvala izredno temeljiti ekipi Arbitrum za zagotavljanje nagrade 400 ETH in seveda za ustvarjanje neverjetne tehnološke inovacije z njihovo implementacijo L2,« 0xriptide je zapisal v ponedeljek.
Vendar se je heker morda premislil o vrednosti svojega odkritja. V torek so tvitnili, da bi glede na stotine milijonov privarčevanih dolarjev Arbitrum lahko bil velikodušnejši:
Bodite na tekočem s kripto novicami, prejemajte dnevne posodobitve v svoj nabiralnik.
Vir: https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro