Un hacker chapeau blanc a découvert un bogue dans la dernière mise à jour d'Arbitrum, un Ethereum mise à l'échelle du réseau, qui aurait pu entraîner le vol de plus de 530 millions de dollars.
Le constructeur d'Arbitrum OffChain Labs plus tôt cette semaine a récompensé le pirate informatique, qui opère sous le pseudonyme 0xriptide, avec une prime de 400 ETH (d'une valeur d'environ 530,000 XNUMX $) pour le partage de la découverte.
Arbitrum a lancé sa dernière mise à jour, Nitro, le 31 août, en prévision de la Ethereum fusionne, la transition récente et très attendue du réseau Ethereum d'un mécanisme de consensus de preuve de travail à la preuve de la participation.
Immédiatement après le lancement d'Arbitrum Nitro, 0xriptide a commencé à parcourir son code à la recherche de vulnérabilités, selon un blog détaillant la découverte.
Réseaux de mise à l'échelle Ethereum comme Arbitre naviguer dans la lenteur du réseau principal Ethereum et les frais de transaction coûteux en "enrouler" une grande quantité de transactions Ethereum sur une chaîne distincte, puis les relayer vers le réseau principal Ethereum en une seule transaction. Cela augmente considérablement la vitesse et l'abordabilité des transactions Ethereum, mais cela peut également exposer les utilisateurs à des vulnérabilités.
0xriptide a découvert que le pont entre le réseau principal Ethereum et Arbitrum Nitro contenait une faille qui permettrait à tout pirate industrieux de remplacer l'adresse de destination d'Arbitrum par la sienne. Essentiellement, tous les fonds destinés à circuler d'Ethereum vers Aribitrum pourraient plutôt être redirigés directement dans le portefeuille d'un pirate informatique.
Par 0xriptide, un pirate informatique aurait pu manipuler le bogue pour sélectionner de manière sélective des dépôts individuels massifs et éviter la détection, ou siphonner l'ensemble du flux de dépôts entrants d'Arbitrum. Dans la période entre les débuts d'Artibrum Nitro fin août et le moment où 0xriptide a informé OffChain Labs du bogue, plus de 400,000 534 ETH, soit XNUMX millions de dollars au moment de la rédaction, sont passés à Arbitrum depuis Ethereum, selon les données d'un Analyse des dunes tableau de bord.
0xriptide a également noté qu'au cours des trois dernières semaines, le plus gros dépôt unique à Aribtrum s'élevait à 168,000 225 ETH, soit XNUMX millions de dollars au moment de la rédaction. Au cours de cette période, cependant, aucun pirate n'a exploité le bogue et Arbitrum n'a subi aucune attaque.
Les soi-disant attaques de ponts croisés comme celle que 0xriptide aurait pu empêcher sont trop courantes dans le monde des scalers Ethereum. En mars, Lazarus Group, un groupe de piratage informatique affilié à la Corée du Nord, a volé 622 millions de dollars d'ETH en infiltrant un Ethereum chaîne latérale pont utilisé par le jeu play-to-earn Axie Infinity. Ce même groupe emporté 100 millions de dollars en juin en ciblant un autre pont de sidechain Ethereum utilisé par Harmony Protocol.
Après confirmation de la faille dans Arbitrum Nitro, OffChain Labs a envoyé à 0xriptide un paiement de 400 ETH, soit un peu plus de 530,000 3 $, via la plateforme webXNUMX bug bounty ImmunitaireFi.
"Merci à l'équipe extrêmement basée d'Arbitrum d'avoir fourni une prime de 400 ETH, et bien sûr d'avoir créé une innovation technologique incroyable avec leur implémentation L2 », 0xriptide a écrit lundi.
Cependant, le pirate peut avoir développé des doutes sur la valeur de sa découverte. Mardi, ils ont tweeté que, compte tenu des centaines de millions de dollars économisés, Arbitrum aurait pu être plus généreux :
Restez au courant des actualités cryptographiques, recevez des mises à jour quotidiennes dans votre boîte de réception.
Source : https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro