Um hacker de chapéu branco descobriu um bug na última atualização do Arbitrum, um Ethereum rede de dimensionamento, que poderia ter levado ao roubo de mais de US $ 530 milhões.
O construtor da Arbitrum OffChain Labs no início desta semana recompensou o hacker, que opera sob o pseudônimo 0xriptide, com uma recompensa de 400 ETH (no valor de aproximadamente US$ 530,000) por compartilhar a descoberta.
A Arbitrum lançou sua última atualização, Nitro, em 31 de agosto, antecipando a Fusão Ethereum, a recente e muito esperada transição da rede Ethereum de um mecanismo de consenso de prova de trabalho para prova de participação.
Imediatamente após o lançamento do Arbitrum Nitro, o 0xriptide começou a vasculhar seu código em busca de vulnerabilidades, de acordo com um no blog detalhando a descoberta.
Redes de dimensionamento Ethereum como arbitragem navegue na velocidade lenta da rede principal Ethereum e nas taxas de transação caras por “enrolando” uma grande quantidade de transações Ethereum em uma cadeia separada e, em seguida, retransmitindo-as de volta para a rede principal Ethereum como uma única transação. Isso aumenta substancialmente a velocidade e a acessibilidade das transações Ethereum, mas também pode expor os usuários a vulnerabilidades.
0xriptide descobriu que a ponte entre a rede principal Ethereum e o Arbitrum Nitro continha uma falha que permitiria a qualquer hacker diligente substituir o endereço de destino do Arbitrum pelo seu próprio. Essencialmente, quaisquer fundos destinados a fluir do Ethereum para o Aribitrum poderiam ser redirecionados diretamente para a carteira de um hacker.
De acordo com o 0xriptide, um hacker poderia ter manipulado o bug para selecionar seletivamente depósitos individuais maciços e evitar a detecção, ou desviar todo o fluxo de depósitos recebidos da Arbitrum. No período entre a estreia do Artibrum Nitro no final de agosto e quando o 0xriptide notificou o OffChain Labs sobre o bug, mais de 400,000 ETH, ou US$ 534 milhões no momento da escrita, foram transferidos para o Arbitrum do Ethereum, de acordo com dados de um Análise de Dunas painel de controle.
O 0xriptide também observou que, nas últimas três semanas, o maior depósito único na Aribtrum foi de 168,000 ETH, ou US$ 225 milhões no momento da escrita. Nesse período, porém, nenhum hacker explorou o bug, e a Arbitrum não sofreu ataques.
Os chamados ataques de ponte de cadeia cruzada, como o que 0xriptide pode ter evitado, são muito comuns no mundo dos scalers de Ethereum. Em março, o Lazarus Group, um grupo de hackers afiliado à Coreia do Norte, roubou $ 622 milhões em ETH infiltrando-se em um Ethereum cadeia lateral ponte usada pelo jogo play-to-ganhar Axie Infinity. Esse mesmo grupo levou US$ 100 milhões em junho visando outra ponte sidechain Ethereum utilizada pelo Harmony Protocol.
Após a confirmação da falha no Arbitrum Nitro, o OffChain Labs enviou à 0xriptide um pagamento de 400 ETH, ou pouco mais de US$ 530,000, via plataforma de recompensas de bugs web3 ImuneFi.
"Obrigado à equipe Arbitrum extremamente baseada por fornecer uma recompensa de 400 ETH e, é claro, por criar uma incrível inovação tecnológica com sua implementação L2 ”, 0xriptide escreveu na segunda-feira.
O hacker pode ter desenvolvido dúvidas sobre o valor de sua descoberta, no entanto. Na terça-feira, eles twittaram que, dadas as centenas de milhões de dólares economizados, a Arbitrum poderia ter sido mais generosa:
Fique por dentro das notícias sobre criptomoedas, receba atualizações diárias em sua caixa de entrada.
Fonte: https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro