Balto cepuru hakeris ir atklājis kļūdu jaunākajā Arbitrum jauninājumā, an Ethereum mērogošanas tīklu, kas varēja izraisīt vairāk nekā 530 miljonu ASV dolāru zādzību.
Arbitrum celtnieks OffChain Labs šīs nedēļas sākumā apbalvoja hakeru, kurš darbojas ar pseidonīmu 0xriptide, ar atlīdzību 400 ETH (aptuveni 530,000 XNUMX USD vērtībā) par atklājuma kopīgošanu.
Arbitrum 31. augustā laida klajā savu jaunāko jauninājumu Nitro, gaidot Ethereum sapludināšana, Ethereum tīkla nesenā un ļoti gaidītā pāreja no darba pierādījuma vienprātības mehānisma uz likmes pierādījums.
Saskaņā ar A blog post sīki izklāstot atklājumu.
Ethereum mērogošanas tīkli, piemēram šķīrējtiesa pārejiet uz Ethereum tīkla lēno ātrumu un dārgajām darījumu maksām, izmantojot "sarullējot” liels daudzums Ethereum transakciju atsevišķā ķēdē un pēc tam nosūtot tos atpakaļ uz Ethereum galveno tīklu kā vienu darījumu. Tas ievērojami palielina Ethereum darījumu ātrumu un pieejamību, taču tas var arī pakļaut lietotājus ievainojamībām.
0xriptide atklāja, ka tiltā starp Ethereum tīkla tīklu un Arbitrum Nitro ir defekts, kas ļautu jebkuram čaklam hakeram aizstāt Arbitrum galamērķa adresi ar savu. Būtībā visus līdzekļus, kas paredzēti no Ethereum uz Aribitrum, tā vietā varētu novirzīt tieši uz hakeru maku.
Katrā 0xriptīdā hakeris varēja manipulēt ar kļūdu, lai vai nu selektīvi noņemtu masīvus atsevišķus nogulsnes un izvairītos no atklāšanas, vai arī izsūknētu visu Arbitrum ienākošo depozītu plūsmu. Laikposmā starp Artibrum Nitro debiju augusta beigās līdz brīdim, kad 0xriptide paziņoja OffChain Labs par kļūdu, vairāk nekā 400,000 534 ETH jeb XNUMX miljoni ASV dolāru, rakstot, tika pārvietoti uz Arbitrum no Ethereum, liecina dati no Kāpu analīze panelis.
0xriptide arī atzīmēja, ka pēdējo trīs nedēļu laikā lielākais atsevišķais depozīts Aribtrum sasniedza 168,000 225 ETH jeb XNUMX miljonus ASV dolāru rakstīšanas brīdī. Tomēr šajā periodā neviens hakeris šo kļūdu neizmantoja, un Arbitrum netika uzbrukts.
Tā sauktie šķērsķēžu tiltu uzbrukumi, piemēram, 0xriptide, kurus, iespējams, ir novērsuši, Ethereum mērogotāju pasaulē ir pārāk izplatīti. Martā Lazarus Group, ar Ziemeļkoreju saistīta hakeru grupa, nozaga ETH 622 miljonu dolāru vērtībā iefiltrējoties Ethereum sidechain tilts, ko izmanto spēle, lai nopelnītu Axie Infinity. Tā pati grupa jūnijā nopelnīja 100 miljonus dolāru mērķējot uz citu Ethereum sānu ķēdes tiltu, ko izmanto Harmony Protocol.
Pēc Arbitrum Nitro defekta apstiprināšanas, OffChain Labs nosūtīja 0xriptide maksājumu 400 ETH jeb nedaudz vairāk par 530,000 3 USD, izmantojot WebXNUMX kļūdu atlīdzības platformu. ImmuneFi.
"Paldies ārkārtīgi balstītajai Arbitrum komandai par 400 ETH balvas nodrošināšanu un, protams, par neticama tehnoloģiska jauninājuma radīšanu, ieviešot L2. 0xriptide rakstīja pirmdien.
Tomēr hakeris, iespējams, ir radījis otrās domas par sava atklājuma vērtību. Otrdien viņi tviterī paziņoja, ka, ņemot vērā simtiem miljonu ietaupīto dolāru, Arbitrum varēja būt dāsnāks:
Sekojiet kriptovalūtu jaunumiem, saņemiet ikdienas atjauninājumus savā iesūtnē.
Avots: https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro