Белый хакер обнаружил ошибку в последнем обновлении Arbitrum, сети масштабирования Ethereum , которая могла привести к краже более 530 миллионов долларов.
Разработчик Arbitrum OffChain Labs ранее на этой неделе наградил хакера, работающего под псевдонимом 0xriptide , наградой в размере 400 ETH (стоимостью около 530 000 долларов США) за то, что он поделился открытием.
Arbitrum запустил свое последнее обновление, Nitro, 31 августа в преддверии слияния Ethereum, недавнего и долгожданного перехода сети Ethereum от механизма консенсуса Proof-of-Work к Proof-of-Stake .
Сразу же после запуска Arbitrum Nitro 0xriptide начал рыскать в его коде в поисках любых уязвимостей, согласно сообщению в блоге , в котором подробно описывается обнаружение.
Масштабирующиеся сети Ethereum, такие как Arbitrum , преодолевают медленную скорость основной сети Ethereum и высокие комиссии за транзакции, « сворачивая » большое количество транзакций Ethereum в отдельную цепочку, а затем ретранслируя их обратно в сеть Ethereum как единую транзакцию. Это существенно увеличивает скорость и доступность транзакций Ethereum, но также может подвергнуть пользователей уязвимостям.
0xriptide обнаружил, что мост между основной сетью Ethereum и Arbitrum Nitro содержит уязвимость, которая позволяет любому трудолюбивому хакеру заменить адрес назначения Arbitrum своим собственным. По сути, любые средства, предназначенные для перевода из Ethereum в Aribitrum, вместо этого могут быть перенаправлены прямо в кошелек хакера.
Согласно 0xriptide, хакер мог манипулировать ошибкой, чтобы либо выборочно снимать крупные отдельные депозиты и избегать обнаружения, либо перекачивать весь входящий поток депозитов Arbitrum. В период между дебютом Artibrum Nitro в конце августа и моментом, когда 0xriptide уведомил OffChain Labs об ошибке, более 400 000 ETH или 534 миллиона долларов на момент написания были переведены в Arbitrum из Ethereum, согласно данным панели управления Dune Analytics .
0xriptide также отметил, что за последние три недели крупнейший разовый депозит в Aribtrum составил 168 000 ETH, или 225 миллионов долларов на момент написания статьи. Однако в тот период ни один хакер не воспользовался ошибкой, и Arbitrum не подвергался атакам.
Так называемые межсетевые мостовые атаки, подобные той, которую, возможно, предотвратил 0xriptide, слишком распространены в мире масштабаторов Ethereum. В марте Lazarus Group, хакерская группа, связанная с Северной Кореей, украла ETH на сумму 622 миллиона долларов , проникнув в мост боковой цепи Ethereum , используемый игрой Axie Infinity, в которой нужно зарабатывать деньги. В июне эта же группа украла 100 миллионов долларов , нацелившись на другой мост боковой цепи Ethereum, используемый протоколом Harmony.
После подтверждения недостатка в Arbitrum Nitro, OffChain Labs отправила 0xriptide платеж в размере 400 ETH или чуть более 530 000 долларов США через платформу вознаграждения за обнаружение ошибок web3 ImmuneFi .
« Спасибо чрезвычайно сильной команде Arbitrum за вознаграждение в размере 400 ETH и, конечно же, за создание невероятных технологических инноваций с их реализацией L2», — написал 0xriptide в понедельник.
Однако хакер, возможно, задумался о ценности своего открытия. Во вторник они написали в Твиттере, что, учитывая сэкономленные сотни миллионов долларов, Arbitrum мог бы быть более щедрым:
Ничего страшного, просто перекинуть крутые 470 миллионов долларов по тому же контракту Inbox
Определенно должен иметь право на максимальную награду
— риптид (@0xriptide) 20 сентября 2022 г.
Не упустите момент – подпишитесь в социальных сетях, следите за актуальными новостями во Вконтакте и Telegram