Një haker i kapelës së bardhë ka zbuluar një defekt në përmirësimin e fundit për Arbitrum, një Ethereum rrjeti i shkallëzimit, që mund të kishte çuar në vjedhjen e mbi 530 milionë dollarëve.
Ndërtuesi i Arbitrum OffChain Labs në fillim të kësaj jave shpërbleu hakerin, i cili vepron me pseudonimin 0xriptide, me një shpërblim prej 400 ETH (me vlerë rreth 530,000 dollarë) për ndarjen e zbulimit.
Arbitrum filloi përmirësimin e tij të fundit, Nitro, më 31 gusht, në pritje të Ethereum bashkohet, tranzicioni i fundit dhe i shumëpritur i rrjetit Ethereum nga një mekanizëm konsensusi i provës së punës në prova e kunjit.
Menjëherë pas lëshimit të Arbitrum Nitro, 0xriptide filloi të pastrojë kodin e tij në kërkim të ndonjë dobësie, sipas një blog post duke detajuar zbulimin.
Rrjetet e shkallëzimit të Ethereum si arbitrazhi navigoni shpejtësinë e ngadaltë të rrjetit kryesor të Ethereum dhe tarifat e kushtueshme të transaksionit duke "duke u rrotulluarNjë sasi e madhe transaksionesh Ethereum në një zinxhir të veçantë dhe më pas transferimi i tyre në rrjetin kryesor të Ethereum si një transaksion i vetëm. Të bësh këtë rrit ndjeshëm shpejtësinë dhe përballueshmërinë e transaksioneve të Ethereum, por gjithashtu mund t'i ekspozojë përdoruesit ndaj dobësive.
0xriptide zbuloi se ura midis rrjetit kryesor të Ethereum dhe Arbitrum Nitro përmban një të metë që do të lejonte çdo haker të zellshëm të zëvendësonte adresën e destinacionit të Arbitrum me adresën e tij. Në thelb, çdo fond që synohet të rrjedhë nga Ethereum në Aribitrum mund të ridrejtohet drejtpërdrejt në portofolin e një hakeri.
Për 0xriptide, një haker mund të kishte manipuluar gabimin për të zgjedhur në mënyrë selektive depozita masive individuale dhe për të shmangur zbulimin, ose për të hequr të gjithë rrjedhën hyrëse të depozitave të Arbitrum. Në periudhën midis debutimit të Artibrum Nitro në fund të gushtit dhe kur 0xriptide njoftoi OffChain Labs për defektin, mbi 400,000 ETH, ose 534 milionë dollarë me shkrim, u zhvendosën në Arbitrum nga Ethereum, sipas të dhënave nga një. Analiza e Dune pult.
0xriptide gjithashtu vuri në dukje se brenda tre javëve të fundit, depozita më e madhe e vetme në Aribtrum arriti në 168,000 ETH, ose 225 milionë dollarë me shkrim. Në atë periudhë, megjithatë, asnjë haker nuk e shfrytëzoi gabimin dhe Arbitrum nuk pësoi asnjë sulm.
Të ashtuquajturat sulme të urës së kryqëzuar si ai që mund të ketë parandaluar 0xriptide janë shumë të zakonshme në botën e shkallëzuesve të Ethereum. Në mars, Lazarus Group, një grup hakerash i lidhur me Korenë e Veriut, vodhi 622 milionë dollarë ETH duke infiltruar një Ethereum sidechain urë e përdorur nga loja "luaj për të fituar" Axie Infinity. I njëjti grup i realizuar me 100 milionë dollarë në qershor duke synuar një tjetër urë të zinxhirit anësor Ethereum të përdorur nga Protokolli i Harmonisë.
Pas konfirmimit të defektit në Arbitrum Nitro, OffChain Labs i dërgoi 0xriptide një pagesë prej 400 ETH, ose pak më shumë se 530,000 dollarë, nëpërmjet platformës web3 bug bounty ImmuneFi.
"Faleminderit ekipit jashtëzakonisht të bazuar në Arbitrum për ofrimin e një shpërblimi prej 400 ETH dhe sigurisht për krijimin e një pjese të pabesueshme të inovacionit teknologjik me zbatimin e tyre L2. 0xriptide shkroi të hënën.
Megjithatë, hakeri mund të ketë zhvilluar mendime të dyta për vlerën e zbulimit të tyre. Të martën, ata postuan në Twitter se, duke pasur parasysh qindra milionë dollarët e kursyera, Arbitrum mund të kishte qenë më bujar:
Qëndroni në krye të lajmeve të kriptos, merrni përditësime ditore në kutinë tuaj hyrëse.
Burimi: https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro