Beyaz şapkalı bir bilgisayar korsanı, Arbitrum için yapılan en son güncellemede bir hata keşfetti. Ethereum 530 milyon doların üzerinde hırsızlığa yol açabilecek bir ölçeklendirme ağı.
Arbitrum oluşturucu OffChain Labs bu haftanın başlarında takma ad altında faaliyet gösteren bilgisayar korsanını ödüllendirdi 0xriptid, keşfi paylaşmak için 400 ETH (yaklaşık 530,000 $ değerinde) ödülle.
Arbitrum, en son yükseltmesi Nitro'yu 31 Ağustos'ta piyasaya sürdü. Ethereum birleştirme, Ethereum ağının bir iş kanıtı konsensüs mekanizmasından son ve çok beklenen geçişi hissesini kanıtı.
Arbitrum Nitro'nun piyasaya sürülmesinin hemen ardından, 0xriptide, herhangi bir güvenlik açığı aramak için kodunu incelemeye başladı. blog yazısı keşfi detaylandırıyor.
gibi Ethereum ölçekleme ağları Hakem Ethereum ana ağının yavaş hızında ve maliyetli işlem ücretlerinde “yuvarlayarak” ayrı bir zincirde büyük miktarda Ethereum işlemi ve ardından bunları tek bir işlem olarak Ethereum ana ağına geri aktarıyor. Bunu yapmak, Ethereum işlemlerinin hızını ve satın alınabilirliğini önemli ölçüde artırır, ancak kullanıcıları güvenlik açıklarına da maruz bırakabilir.
0xriptide, Ethereum ana ağı ve Arbitrum Nitro arasındaki köprünün, çalışkan herhangi bir bilgisayar korsanının Arbitrum'un hedef adresini kendi adresiyle değiştirmesine izin verecek bir kusur içerdiğini keşfetti. Esasen, Ethereum'dan Aribitrum'a akması amaçlanan herhangi bir fon, bunun yerine doğrudan bir bilgisayar korsanının cüzdanına yönlendirilebilir.
0xriptide'a göre, bir bilgisayar korsanı ya büyük bireysel mevduatları seçici olarak seçmek ve tespit edilmekten kaçınmak için hatayı manipüle edebilir ya da Arbitrum'un tüm gelen mevduat akışını sifonlayabilirdi. Artibrum Nitro'nun Ağustos ayının sonundaki ilk çıkışı ile 0xriptide'ın OffChain Labs'ı hatadan haberdar etmesi arasındaki dönemde, 400,000'den fazla ETH veya yazılı olarak 534 milyon dolardan fazla, Ethereum'dan Arbitrum'a taşındı. Kumul Analizi gösterge panosu.
0xriptide ayrıca, son üç hafta içinde Aribtrum'a yapılan en büyük tek para yatırma işleminin 168,000 ETH veya yazılı olarak 225 milyon dolar olduğunu belirtti. Ancak o dönemde hiçbir bilgisayar korsanı bu hatadan yararlanmadı ve Arbitrum hiçbir saldırıya uğramadı.
0xriptide'ın önlemiş olabileceği gibi çapraz zincirli köprü saldırıları, Ethereum ölçekleyiciler dünyasında çok yaygındır. Mart ayında, Kuzey Kore'ye bağlı bir bilgisayar korsanlığı grubu olan Lazarus Group, 622 milyon dolar değerinde ETH çaldı bir Ethereum'a sızarak Yan zincir Oyna-kazan oyunu Axie Infinity tarafından kullanılan köprü. Aynı grup Haziran'da 100 milyon doları kaçırdı Harmony Protocol tarafından kullanılan başka bir Ethereum yan zincir köprüsünü hedefleyerek.
Arbitrum Nitro'daki kusurun onaylanmasının ardından OffChain Labs, 0xriptide'a web400 bug bounty platformu aracılığıyla 530,000 ETH veya 3 doların biraz üzerinde bir ödeme gönderdi. Bağışıklık.
"400 ETH ödülü sağladığı ve tabii ki L2 uygulamalarıyla inanılmaz bir teknolojik yenilik yarattığı için son derece temelli Arbitrum ekibine teşekkür ederiz.” 0xriptide Pazartesi günü yazdı.
Bununla birlikte, bilgisayar korsanı, keşiflerinin değeri hakkında ikinci düşünceler geliştirmiş olabilir. Salı günü, tasarruf edilen yüz milyonlarca dolar göz önüne alındığında, Arbitrum'un daha cömert olabileceğini tweetlediler:
Kripto haberlerinden haberdar olun, gelen kutunuzda günlük güncellemeler alın.
Kaynak: https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro