En white hat hacker har oppdaget en feil i den siste oppgraderingen for Arbitrum, en Ethereum skaleringsnettverk, som kunne ha ført til tyveri av over 530 millioner dollar.
Arbitrum-bygger OffChain Labs belønnet tidligere denne uken hackeren, som opererer under pseudonymet 0xriptide, med en dusør på 400 ETH (verdt omtrent $530,000 XNUMX) for å dele oppdagelsen.
Arbitrum lanserte sin siste oppgradering, Nitro, 31. august, i påvente av Ethereum fusjonerer, Ethereum-nettverkets nylige og etterlengtede overgang fra en bevis-på-arbeid konsensusmekanisme til bevis på innsatsen.
Umiddelbart etter lanseringen av Arbitrum Nitro begynte 0xriptide å lete etter koden sin på leting etter eventuelle sårbarheter, ifølge en blogginnlegg detaljer om funnet.
Ethereum-skaleringsnettverk som Voldgift naviger Ethereum-nettverkets langsomme hastighet og kostbare transaksjonsgebyrer ved å "ruller opp” en stor mengde Ethereum-transaksjoner på en separat kjede og deretter videresende dem tilbake til Ethereum-nettverket som en enkelt transaksjon. Å gjøre det øker hastigheten og rimeligheten til Ethereum-transaksjoner betydelig, men det kan også utsette brukere for sårbarheter.
0xriptide oppdaget at broen mellom Ethereums hovednett og Arbitrum Nitro inneholdt en feil som ville tillate enhver flittig hacker å erstatte Arbitrums destinasjonsadresse med sin egen. I hovedsak kan alle midler som er ment å strømme fra Ethereum til Aribitrum i stedet omdirigeres rett inn i en hackers lommebok.
Per 0xriptide kunne en hacker ha manipulert feilen til enten å plukke ut massive individuelle innskudd og unngå deteksjon, eller sifonet av hele Arbitrums innkommende innskuddsflyt. I perioden mellom Artibrum Nitros debut i slutten av august og da 0xriptide varslet OffChain Labs om feilen, flyttet over 400,000 534 ETH, eller $XNUMX millioner ved skriving, inn i Arbitrum fra Ethereum, ifølge data fra en Dune Analytics dashbordet.
0xriptide bemerket også at i løpet av de siste tre ukene utgjorde det største enkeltinnskuddet til Aribtrum 168,000 225 ETH, eller XNUMX millioner dollar ved skriving. I den perioden var det imidlertid ingen hackere som utnyttet feilen, og Arbitrum fikk ingen angrep.
Såkalte cross-chain bridge-angrep som det 0xriptide kan ha forhindret er altfor vanlige i verden av Ethereum-skalere. I mars kom Lazarus Group, en Nord-Korea-tilknyttet hackergruppe, stjal ETH for 622 millioner dollar ved å infiltrere et Ethereum kjeden bridge brukt av spill for å tjene spillet Axie Infinity. Den samme gruppen gjorde unna med 100 millioner dollar i juni ved å målrette mot en annen Ethereum-sidekjedebro brukt av Harmony Protocol.
Etter bekreftelse av feilen i Arbitrum Nitro, sendte OffChain Labs 0xriptide en betaling på 400 ETH, eller litt over $530,000 3, via webXNUMX bug bounty-plattformen ImmuneFi.
"Takk til det ekstremt baserte Arbitrum-teamet for å gi en dusør på 400 ETH, og selvfølgelig for å skape et utrolig stykke teknologisk innovasjon med deres L2-implementering." 0xriptide skrev mandag.
Hackeren kan imidlertid ha utviklet andre tanker om verdien av oppdagelsen deres. Tirsdag tvitret de at, gitt de hundrevis av millioner av dollar som er spart, kunne Arbitrum vært mer sjenerøs:
Hold deg oppdatert på kryptonyheter, få daglige oppdateringer i innboksen din.
Kilde: https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro