Hacker salva Abritrum de bug de drenagem de Ethereum na atualização do Nitro

Um hacker de chapéu branco descobriu um bug na última atualização do Arbitrum, um Ethereum rede de dimensionamento, que poderia ter levado ao roubo de mais de US $ 530 milhões. 

O construtor da Arbitrum OffChain Labs no início desta semana recompensou o hacker, que opera sob o pseudônimo 0xriptide, com uma recompensa de 400 ETH (no valor de aproximadamente US$ 530,000) por compartilhar a descoberta. 

A Arbitrum lançou sua última atualização, Nitro, em 31 de agosto, antecipando a Fusão Ethereum, a recente e muito esperada transição da rede Ethereum de um mecanismo de consenso de prova de trabalho para prova de participação.

Imediatamente após o lançamento do Arbitrum Nitro, o 0xriptide começou a vasculhar seu código em busca de vulnerabilidades, de acordo com um blog detalhando a descoberta.

Redes de dimensionamento Ethereum como arbitragem navegue na velocidade lenta da rede principal Ethereum e nas taxas de transação caras por “enrolando” uma grande quantidade de transações Ethereum em uma cadeia separada e, em seguida, retransmitindo-as de volta para a rede principal Ethereum como uma única transação. Isso aumenta substancialmente a velocidade e a acessibilidade das transações Ethereum, mas também pode expor os usuários a vulnerabilidades. 

0xriptide descobriu que a ponte entre a rede principal Ethereum e o Arbitrum Nitro continha uma falha que permitiria a qualquer hacker diligente substituir o endereço de destino do Arbitrum pelo seu próprio. Essencialmente, quaisquer fundos destinados a fluir do Ethereum para o Aribitrum poderiam ser redirecionados diretamente para a carteira de um hacker. 

De acordo com o 0xriptide, um hacker poderia ter manipulado o bug para selecionar seletivamente depósitos individuais maciços e evitar a detecção, ou desviar todo o fluxo de depósitos recebidos da Arbitrum. No período entre a estreia do Artibrum Nitro no final de agosto e quando o 0xriptide notificou o OffChain Labs sobre o bug, mais de 400,000 ETH, ou US$ 534 milhões no momento da escrita, foram transferidos para o Arbitrum do Ethereum, de acordo com dados de um Análise de Dunas painel de controle. 

O 0xriptide também observou que, nas últimas três semanas, o maior depósito único na Aribtrum foi de 168,000 ETH, ou US$ 225 milhões no momento da escrita. Nesse período, porém, nenhum hacker explorou o bug, e a Arbitrum não sofreu ataques. 

Os chamados ataques de ponte de cadeia cruzada, como o que 0xriptide pode ter evitado, são muito comuns no mundo dos scalers de Ethereum. Em março, o Lazarus Group, um grupo de hackers afiliado à Coreia do Norte, roubou $ 622 milhões em ETH infiltrando-se em um Ethereum cadeia lateral ponte usada pelo jogo play-to-ganhar Axie Infinity. Esse mesmo grupo levou US$ 100 milhões em junho visando outra ponte sidechain Ethereum utilizada pelo Harmony Protocol. 

Após a confirmação da falha no Arbitrum Nitro, o OffChain Labs enviou à 0xriptide um pagamento de 400 ETH, ou pouco mais de US$ 530,000, via plataforma de recompensas de bugs web3 ImuneFi.

"Obrigado à equipe Arbitrum extremamente baseada por fornecer uma recompensa de 400 ETH e, é claro, por criar uma incrível inovação tecnológica com sua implementação L2 ”, 0xriptide escreveu na segunda-feira. 

O hacker pode ter desenvolvido dúvidas sobre o valor de sua descoberta, no entanto. Na terça-feira, eles twittaram que, dadas as centenas de milhões de dólares economizados, a Arbitrum poderia ter sido mais generosa: 

Fique por dentro das notícias sobre criptomoedas, receba atualizações diárias em sua caixa de entrada.

Fonte: https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro