Хакер з белай шапкай выявіў памылку ў апошнім абнаўленні для Arbitrum, an Эфириума маштабаванне сеткі, што магло прывесці да крадзяжу больш чым на 530 мільёнаў долараў.
Раней на гэтым тыдні канструктар Arbitrum OffChain Labs узнагародзіў хакера, які працуе пад псеўданімам 0xriptide, з прэміяй у памеры 400 ETH (коштам прыкладна 530,000 XNUMX долараў) за тое, што вы падзяліцеся адкрыццём.
Кампанія Arbitrum запусціла сваё апошняе абнаўленне Nitro 31 жніўня ў чаканні зліццё Ethereum, нядаўні і доўгачаканы пераход сеткі Ethereum ад кансенсуснага механізму пацверджання працы да доказ долі.
Адразу пасля запуску Arbitrum Nitro 0xriptide пачаў прачыстваць яго код у пошуках уразлівасцей, паведамляе блог дэталізацыя знаходкі.
Такія сеткі маштабавання Ethereum Арбітрам арыентуйцеся па нізкай хуткасці асноўнай сеткі Ethereum і дарагіх камісіях за транзакцыі па «згортванне»вялікая колькасць транзакцый Ethereum у асобным ланцужку, а затым іх рэтрансляцыя назад у асноўную сетку Ethereum як адна транзакцыя. Гэта істотна павялічвае хуткасць і даступнасць транзакцый Ethereum, але таксама можа падвергнуць карыстальнікаў уразлівасцям.
0xriptide выявіў, што мост паміж асноўнай сеткай Ethereum і Arbitrum Nitro змяшчае недахоп, які дазволіць любому працавітаму хакеру замяніць адрас прызначэння Arbitrum сваім уласным. Па сутнасці, любыя сродкі, прызначаныя перацякаць з Ethereum у Aribitrum, могуць быць перанакіраваны проста ў кашалёк хакера.
Згодна з 0xriptide, хакер мог маніпуляваць памылкай, каб альбо выбарачна сабраць велізарныя асобныя дэпазіты і пазбегнуць выяўлення, альбо перацягнуць увесь уваходны паток дэпазітаў Arbitrum. Па дадзеных з Аналіз дзюн прыборная панэль.
0xriptide таксама адзначыў, што за апошнія тры тыдні самы вялікі адзінкавы дэпазіт у Aribtrum склаў 168,000 225 ETH, або XNUMX мільёнаў долараў на пісьме. Аднак у гэты перыяд ні адзін хакер не выкарыстаў памылку, і Arbitrum не пацярпеў ад нападаў.
Так званыя крос-ланцуговыя брыдж-атакі, такія як тая, якую мог прадухіліць 0xriptide, занадта часта сустракаюцца ў свеце скейлераў Ethereum. У сакавіку Lazarus Group, афіляваная з Паўночнай Карэяй хакерская група, выкраў ETH на суму 622 мільёны долараў шляхам пранікнення ў Ethereum сайдчейн брыдж, які выкарыстоўваецца ў гульні "гуляй і зарабляй" Axie Infinity. Тая самая група у чэрвені зарабіў 100 мільёнаў долараў шляхам нацэльвання на іншы мост сайдчэйна Ethereum, які выкарыстоўваецца пратаколам Harmony.
Пасля пацверджання недахопу ў Arbitrum Nitro OffChain Labs адправіла 0xriptide выплату ў памеры 400 ETH, або крыху больш за 530,000 3 долараў, праз платформу ўзнагароджання за памылкі webXNUMX ImmuneFi.
"Дзякуй камандзе Arbitrum за ўзнагароду ў 400 ETH і, вядома, за стварэнне неверагоднай тэхналагічнай інавацыі з іх рэалізацыяй L2», 0xriptide напісаў у панядзелак.
Аднак хакер, магчыма, задумаўся аб каштоўнасці свайго адкрыцця. У аўторак яны напісалі ў твітэры, што, улічваючы зэканомленыя сотні мільёнаў долараў, Arbitrum мог быць больш шчодрым:
Будзьце ў курсе крыпта-навін, атрымлівайце штодзённыя абнаўленні ў паштовай скрыні.
Крыніца: https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro