Seorang penggodam topi putih telah menemui pepijat dalam peningkatan terkini untuk Arbitrum, an Ethereum rangkaian skala, yang boleh menyebabkan kecurian lebih $530 juta.
Pembina Arbitrum OffChain Labs awal minggu ini memberi ganjaran kepada penggodam, yang beroperasi di bawah nama samaran 0xriptide, dengan hadiah 400 ETH (bernilai kira-kira $530,000) untuk berkongsi penemuan.
Arbitrum melancarkan peningkatan terbaharunya, Nitro, pada 31 Ogos, dengan menjangkakan Gabungan Ethereum, peralihan rangkaian Ethereum baru-baru ini dan dinanti-nantikan daripada mekanisme konsensus bukti kerja kepada bukti kepentingan.
Sejurus selepas pelancaran Arbitrum Nitro, 0xriptide mula mencari kodnya untuk mencari sebarang kelemahan, menurut sebuah blog post memperincikan penemuan.
Rangkaian skala Ethereum seperti timbang tara menavigasi kelajuan perlahan mainnet Ethereum dan yuran transaksi yang mahal dengan “berguling-guling” kuantiti besar urus niaga Ethereum pada rantaian berasingan dan kemudian menyampaikannya kembali ke mainnet Ethereum sebagai satu transaksi. Melakukannya meningkatkan kelajuan dan kemampuan transaksi Ethereum dengan ketara, tetapi ia juga boleh mendedahkan pengguna kepada kelemahan.
0xriptide mendapati bahawa jambatan antara mainnet Ethereum dan Arbitrum Nitro mengandungi kecacatan yang membolehkan mana-mana penggodam yang rajin menggantikan alamat destinasi Arbitrum dengan alamat destinasi mereka sendiri. Pada asasnya, sebarang dana yang dimaksudkan untuk mengalir dari Ethereum ke Aribitrum sebaliknya boleh dialihkan terus ke dompet penggodam.
Setiap 0xriptide, penggodam boleh memanipulasi pepijat sama ada secara selektif memilih deposit individu yang besar dan mengelakkan pengesanan, atau menyedut keseluruhan aliran deposit masuk Arbitrum. Dalam tempoh antara debut Artibrum Nitro pada akhir Ogos dan apabila 0xriptide memberitahu OffChain Labs tentang pepijat, lebih 400,000 ETH, atau $534 juta semasa menulis, berpindah ke Arbitrum daripada Ethereum, menurut data daripada sebuah Analisis Dune papan pemuka.
0xriptide juga menyatakan bahawa dalam tempoh tiga minggu lepas, deposit tunggal terbesar kepada Aribtrum berjumlah 168,000 ETH, atau $225 juta semasa bertulis. Walau bagaimanapun, dalam tempoh itu, tiada penggodam yang mengeksploitasi pepijat, dan Arbitrum tidak mengalami sebarang serangan.
Serangan jambatan rantai silang yang dipanggil seperti yang dihalang oleh 0xriptide adalah perkara biasa dalam dunia penimbang Ethereum. Pada bulan Mac, Kumpulan Lazarus, kumpulan penggodam yang berkaitan dengan Korea Utara, mencuri ETH bernilai $622 juta dengan menyusup ke Ethereum rantaian sampingan jambatan yang digunakan oleh permainan main-untuk-dapatkan Axie Infinity. Kumpulan yang sama itu diperolehi dengan $100 juta pada bulan Jun dengan menyasarkan satu lagi jambatan rantai sisi Ethereum yang digunakan oleh Protokol Harmony.
Selepas pengesahan kecacatan dalam Arbitrum Nitro, OffChain Labs menghantar 0xriptide bayaran sebanyak 400 ETH, atau hanya lebih $530,000, melalui platform hadiah pepijat web3 ImmuneFi.
"Terima kasih kepada pasukan Arbitrum yang sangat berasaskan kerana menyediakan hadiah 400 ETH, dan sudah tentu kerana mencipta satu inovasi teknologi yang luar biasa dengan pelaksanaan L2 mereka,” 0xriptide menulis pada hari Isnin.
Walau bagaimanapun, penggodam mungkin telah mengembangkan pemikiran kedua tentang nilai penemuan mereka. Pada hari Selasa, mereka menulis tweet bahawa, memandangkan ratusan juta dolar yang disimpan, Arbitrum mungkin lebih murah hati:
Ikuti perkembangan berita crypto, dapatkan kemas kini harian dalam peti masuk anda.
Sumber: https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro