Isang hacker ng puting sumbrero ang nakatuklas ng isang bug sa loob ng pinakabagong pag-upgrade para sa Arbitrum, isang Ethereum scaling network, na maaaring humantong sa pagnanakaw ng higit sa $530 milyon.
Ang tagabuo ng Arbitrum na OffChain Labs noong unang bahagi ng linggo ay nagbigay ng gantimpala sa hacker, na nagpapatakbo sa ilalim ng pseudonym 0xriptide, na may bounty na 400 ETH (nagkakahalaga ng humigit-kumulang $530,000) para sa pagbabahagi ng pagtuklas.
Inilunsad ng Arbitrum ang pinakabagong pag-upgrade nito, ang Nitro, noong Agosto 31, bilang pag-asa sa Pagsasama ng Ethereum, ang kamakailang at pinaka-inaasahang paglipat ng Ethereum network mula sa isang mekanismo ng pinagkasunduan na patunay-ng-trabaho patungo sa patunay ng taya.
Kaagad pagkatapos ng paglulunsad ng Arbitrum Nitro, sinimulan ng 0xriptide ang pag-scan sa code nito sa paghahanap ng anumang mga kahinaan, ayon sa isang blog post nagdedetalye ng natuklasan.
Ethereum scaling network tulad ng arbitrasyon i-navigate ang mabagal na bilis ng Ethereum mainnet at mahal na mga bayarin sa transaksyon sa pamamagitan ng “gumugulong” isang malaking dami ng mga transaksyon sa Ethereum sa isang hiwalay na chain at pagkatapos ay i-relay ang mga ito pabalik sa Ethereum mainnet bilang isang solong transaksyon. Ang paggawa nito ay lubos na nagpapataas ng bilis at pagiging affordability ng mga transaksyon sa Ethereum, ngunit maaari rin nitong ilantad ang mga user sa mga kahinaan.
Natuklasan ng 0xriptide na ang tulay sa pagitan ng Ethereum mainnet at Arbitrum Nitro ay naglalaman ng isang depekto na magpapahintulot sa sinumang masipag na hacker na palitan ang patutunguhan ng Arbitrum ng kanilang sariling address. Sa esensya, ang anumang mga pondo na nilalayong dumaloy mula sa Ethereum patungo sa Aribitrum ay maaaring i-redirect diretso sa wallet ng isang hacker.
Sa bawat 0xriptide, maaaring manipulahin ng isang hacker ang bug upang piliing pumili ng napakalaking indibidwal na deposito at maiwasan ang pag-detect, o masipsip ang buong daloy ng papasok na deposito ng Arbitrum. Sa panahon sa pagitan ng debut ng Artibrum Nitro noong huling bahagi ng Agosto at nang ipaalam ng 0xriptide sa OffChain Labs ang bug, mahigit 400,000 ETH, o $534 milyon sa pagsulat, ang lumipat sa Arbitrum mula sa Ethereum, ayon sa data mula sa isang Dune Analytics dashboard.
Nabanggit din ng 0xriptide na sa loob ng huling tatlong linggo, ang pinakamalaking solong deposito sa Aribtrum ay umabot sa 168,000 ETH, o $225 milyon sa pagsulat. Gayunpaman, sa panahong iyon, walang hacker ang nagsamantala sa bug, at ang Arbitrum ay hindi dumanas ng mga pag-atake.
Ang tinatawag na cross-chain bridge attack na tulad ng maaaring napigilan ng 0xriptide ay pangkaraniwan sa mundo ng mga Ethereum scaler. Noong Marso, ang Lazarus Group, isang pangkat sa pag-hack na nauugnay sa North Korea, ninakaw ang $622 milyon na halaga ng ETH sa pamamagitan ng paglusot sa isang Ethereum sidechain tulay na ginagamit ng play-to-earn game na Axie Infinity. Yung parehong grupo nakuha ang $100 milyon noong Hunyo sa pamamagitan ng pag-target sa isa pang Ethereum sidechain bridge na ginagamit ng Harmony Protocol.
Sa pagkumpirma ng kapintasan sa Arbitrum Nitro, nagpadala ang OffChain Labs sa 0xriptide ng bayad na 400 ETH, o mahigit $530,000 lang, sa pamamagitan ng web3 bug bounty platform ImmuneFi.
"Salamat sa lubos na nakabase sa Arbitrum team para sa pagbibigay ng 400 ETH bounty, at siyempre para sa paglikha ng isang hindi kapani-paniwalang piraso ng teknolohikal na pagbabago sa kanilang pagpapatupad ng L2," Sumulat si 0xriptide noong Lunes.
Ang hacker ay maaaring magkaroon ng pangalawang pag-iisip tungkol sa halaga ng kanilang pagtuklas, gayunpaman. Noong Martes, nag-tweet sila na, dahil sa daan-daang milyong dolyar na natipid, maaaring maging mas mapagbigay ang Arbitrum:
Manatili sa balita sa crypto, makakuha ng mga pang-araw-araw na update sa iyong inbox.
Pinagmulan: https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro