Valge mütsi häkker avastas Arbitumi viimases versiooniuuenduses vea Ethereum võrgustik, mis oleks võinud kaasa tuua üle 530 miljoni dollari varguse.
Arbitumi ehitaja OffChain Labs premeeris selle nädala alguses häkkerit, kes tegutseb varjunime all 0xriptide, mille avastuse jagamise eest makstakse 400 ETH-d (väärtuses ligikaudu 530,000 XNUMX dollarit).
Arbitrum käivitas oma viimase versiooni Nitro 31. augustil, oodates Ethereumi liitmine, Ethereumi võrgu hiljutine ja kauaoodatud üleminek töö tõestamise konsensuse mehhanismilt tõend osaluse kohta.
Vahetult pärast Arbitrum Nitro käivitamist hakkas 0xriptide oma koodi otsima, et leida turvaauke. blogi postitus avastuse üksikasjad.
Ethereumi skaleerimisvõrgud nagu vahekohus navigeerige Ethereumi põhivõrgu aeglase kiiruse ja kulukate tehingutasude vahel, kasutades "kokkurullimine” suur hulk Ethereumi tehinguid eraldi ahelas ja edastades need seejärel ühe tehinguna tagasi Ethereumi põhivõrku. See suurendab oluliselt Ethereumi tehingute kiirust ja taskukohasust, kuid võib kasutajad avastada ka haavatavustega.
0xriptide avastas, et Ethereumi põhivõrgu ja Arbitrum Nitro vahelisel sillal oli viga, mis võimaldas igal usinal häkkeril Arbitumi sihtkoha aadressi enda aadressiga asendada. Põhimõtteliselt võiks kõik rahalised vahendid, mis on mõeldud Ethereumist Aribitumi voolama, otse häkkeri rahakotti suunata.
Iga 0xriptide kohta oleks häkker võinud veaga manipuleerida, et selektiivselt eemaldada massiivsed üksikud hoiused ja vältida tuvastamist, või kogu Arbitumi sissetulev hoiuste voog välja tõmmata. Ajavahemikul Artibrum Nitro debüüdi augusti lõpus ja siis, kui 0xriptide teavitas OffChain Labsi veast, kandus Ethereumist Arbitrumisse üle 400,000 534 ETH ehk kirjutamisel XNUMX miljonit dollarit. Dune Analytics armatuurlaud.
0xriptide märkis ka, et viimase kolme nädala jooksul oli Aribtrumile tehtud suurim sissemakse summa 168,000 225 ETH ehk kirjutamise ajal XNUMX miljonit dollarit. Sel perioodil ei kasutanud ükski häkker seda viga ja Arbitrum ei kannatanud rünnakute all.
Niinimetatud ahelatevahelised sillarünnakud, nagu see, mida 0xriptide võis ära hoida, on Ethereumi skalerite maailmas liiga levinud. Märtsis Põhja-Koreaga seotud häkkimisrühmitus Lazarus Group varastas ETH -d 622 miljoni dollari väärtuses tungides Ethereumi külgahela sild, mida kasutab teenimismäng Axie Infinity. See sama grupp juunis teeniti 100 miljonit dollarit sihtides teist Ethereumi külgahela silda, mida kasutab Harmony Protocol.
Arbitrum Nitro vea kinnitamisel saatis OffChain Labs 0xriptide'ile 400 ETH ehk veidi üle 530,000 3 dollari suuruse makse webXNUMX veahaldusplatvormi kaudu. ImmuneFi.
"Täname Arbitumi äärmiselt põhjalikku meeskonda 400 ETH bounty pakkumise eest ja loomulikult uskumatu tehnoloogilise uuenduse loomise eest oma L2 rakendamisega. 0xriptide kirjutas esmaspäeval.
Häkker võis siiski oma avastuse väärtuse kohta teistsuguseid mõtteid mõelda. Teisipäeval säutsusid nad, et säästetud sadu miljoneid dollareid arvestades oleks Arbitrum võinud olla heldem:
Olge kursis krüptouudistega, saate oma postkasti igapäevaseid värskendusi.
Allikas: https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro