Un hacker de sombrero blanco ha descubierto un error en la última actualización de Arbitrum, un Ethereum escalando la red, eso podría haber llevado al robo de más de $ 530 millones.
El constructor de Arbitrum OffChain Labs a principios de esta semana recompensó al hacker, que opera bajo el seudónimo 0xrevueltas, con una recompensa de 400 ETH (con un valor aproximado de $530,000 XNUMX) por compartir el descubrimiento.
Arbitrum lanzó su última actualización, Nitro, el 31 de agosto, anticipándose a la fusión de Ethereum, la transición reciente y muy esperada de la red Ethereum de un mecanismo de consenso de prueba de trabajo a prueba de participación.
Inmediatamente después del lanzamiento de Arbitrum Nitro, 0xriptide comenzó a rastrear su código en busca de vulnerabilidades, según un blog detallando el descubrimiento.
Redes de escalado de Ethereum como arbitum navegue por la velocidad lenta y las costosas tarifas de transacción de la red principal de Ethereum al “enrollar” una gran cantidad de transacciones de Ethereum en una cadena separada y luego retransmitiéndolas a la red principal de Ethereum como una sola transacción. Hacerlo aumenta sustancialmente la velocidad y la asequibilidad de las transacciones de Ethereum, pero también puede exponer a los usuarios a vulnerabilidades.
0xriptide descubrió que el puente entre la red principal de Ethereum y Arbitrum Nitro contenía una falla que permitiría a cualquier hacker laborioso reemplazar la dirección de destino de Arbitrum con la suya propia. Esencialmente, cualquier fondo destinado a fluir de Ethereum a Aribitrum podría ser redirigido directamente a la billetera de un pirata informático.
Por 0xriptide, un pirata informático podría haber manipulado el error para seleccionar selectivamente depósitos individuales masivos y evitar la detección, o desviar todo el flujo de depósito entrante de Arbitrum. En el período entre el debut de Artibrum Nitro a fines de agosto y cuando 0xriptide notificó a OffChain Labs sobre el error, más de 400,000 ETH, o $ 534 millones al momento de escribir, se trasladaron a Arbitrum desde Ethereum, según datos de un Análisis de dunas .
0xriptide también señaló que en las últimas tres semanas, el depósito individual más grande en Aribtrum ascendió a 168,000 225 ETH, o $XNUMX millones al momento de la escritura. En ese período, sin embargo, ningún hacker aprovechó el error y Arbitrum no sufrió ataques.
Los llamados ataques de puente de cadena cruzada como el que 0xriptide pudo haber evitado son muy comunes en el mundo de los escaladores de Ethereum. En marzo, Lazarus Group, un grupo de hackers afiliado a Corea del Norte, robó $ 622 millones en ETH al infiltrarse en un Ethereum cadena lateral puente utilizado por el juego de jugar para ganar Axie Infinity. ese mismo grupo se quedó con 100 millones de dólares en junio apuntando a otro puente de cadena lateral de Ethereum utilizado por Harmony Protocol.
Tras la confirmación de la falla en Arbitrum Nitro, OffChain Labs envió a 0xriptide un pago de 400 ETH, o un poco más de $530,000 3, a través de la plataforma webXNUMX bug bounty InmuneFi.
"Gracias al equipo extremadamente basado de Arbitrum por proporcionar una recompensa de 400 ETH y, por supuesto, por crear una increíble pieza de innovación tecnológica con su implementación de L2”. 0xriptide escribió el lunes.
Sin embargo, el hacker puede haber tenido dudas sobre el valor de su descubrimiento. El martes, tuitearon que, dados los cientos de millones de dólares ahorrados, Arbitrum podría haber sido más generoso:
Manténgase al tanto de las noticias criptográficas, obtenga actualizaciones diarias en su bandeja de entrada.
Fuente: https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro