Een white hat-hacker heeft een bug ontdekt in de nieuwste upgrade voor Arbitrum, en Ethereum schaalnetwerk, dat had kunnen leiden tot de diefstal van meer dan $ 530 miljoen.
Arbitrumbouwer OffChain Labs beloonde eerder deze week de hacker, die opereert onder het pseudoniem 0x riptide, met een premie van 400 ETH (ter waarde van ongeveer $ 530,000) voor het delen van de ontdekking.
Arbitrum lanceerde zijn nieuwste upgrade, Nitro, op 31 augustus, vooruitlopend op de Ethereum samenvoegen, de recente en langverwachte overgang van het Ethereum-netwerk van een proof-of-work consensusmechanisme naar Bewijs van het belang.
Onmiddellijk na de lancering van Arbitrum Nitro begon 0xriptide zijn code te doorzoeken op zoek naar eventuele kwetsbaarheden, volgens een blogpost detaillering van de ontdekking.
Ethereum-schaalnetwerken zoals arbitrum navigeer door de lage snelheid en dure transactiekosten van het Ethereum-mainnet door "oprollen” een grote hoeveelheid Ethereum-transacties in een afzonderlijke keten en deze vervolgens als een enkele transactie terugsturen naar het Ethereum-mainnet. Dit verhoogt de snelheid en betaalbaarheid van Ethereum-transacties aanzienlijk, maar het kan gebruikers ook blootstellen aan kwetsbaarheden.
0xriptide ontdekte dat de brug tussen het Ethereum-mainnet en Arbitrum Nitro een fout bevatte waardoor elke ijverige hacker het bestemmingsadres van Arbitrum zou kunnen vervangen door hun eigen adres. In wezen kan elk geld dat bedoeld is om van Ethereum naar Aribitrum te stromen, rechtstreeks naar de portemonnee van een hacker worden omgeleid.
Per 0xriptide had een hacker de bug kunnen manipuleren om ofwel selectief massale individuele stortingen te selecteren en detectie te voorkomen, of de volledige inkomende stortingsstroom van Arbitrum overhevelen. Volgens gegevens van een Dune-analyse dashboard.
0xriptide merkte ook op dat in de afgelopen drie weken de grootste eenmalige storting op Aribtrum 168,000 ETH bedroeg, of $ 225 miljoen op het moment van schrijven. In die periode maakte echter geen enkele hacker gebruik van de bug en werd Arbitrum niet aangevallen.
Zogenaamde cross-chain bridge-aanvallen zoals degene die 0xriptide mogelijk heeft voorkomen, komen maar al te vaak voor in de wereld van Ethereum-scalers. In maart heeft Lazarus Group, een aan Noord-Korea gelieerde hackgroep, stal $ 622 miljoen aan ETH door een Ethereum te infiltreren zijketting bridge gebruikt door de play-to-earn game Axie Infinity. Diezelfde groep in juni $ 100 miljoen verdiend door zich te richten op een andere Ethereum-zijketenbrug die wordt gebruikt door Harmony Protocol.
Na bevestiging van de fout in Arbitrum Nitro, stuurde OffChain Labs 0xriptide een betaling van 400 ETH, of iets meer dan $ 530,000, via web3 bug bounty-platform ImmuunFi.
"Bedankt aan het extreem gebaseerde Arbitrum-team voor het verstrekken van een 400 ETH-bounty, en natuurlijk voor het creëren van een ongelooflijk stukje technologische innovatie met hun L2-implementatie, " 0xriptide schreef op maandag.
De hacker kan echter bedenkingen hebben ontwikkeld over de waarde van hun ontdekking. Dinsdag twitterden ze dat Arbitrum, gezien de honderden miljoenen bespaarde dollars, genereuzer had kunnen zijn:
Blijf op de hoogte van cryptonieuws, ontvang dagelijkse updates in je inbox.
Bron: https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro