یک هکر کلاه سفید در آخرین بهروزرسانی برای Arbitrum، یک باگ کشف کرده است Ethereum شبکه مقیاس سازی، که می توانست به سرقت بیش از 530 میلیون دلار منجر شود.
سازنده Arbitrum OffChain Labs اوایل این هفته به هکری که با نام مستعار فعالیت می کند پاداش داد. 0xriptide، با پاداش 400 ETH (به ارزش تقریبی 530,000 دلار) برای به اشتراک گذاری کشف.
Arbitrum آخرین ارتقاء خود را، Nitro، در 31 آگوست، در پیش بینی این راه اندازی کرد ادغام اتریوم، انتقال اخیر و بسیار مورد انتظار شبکه اتریوم از مکانیزم اجماع اثبات کار به اثبات سهام.
به گفته پست های وبلاگ جزئیات کشف
شبکه های مقیاس پذیر اتریوم مانند داوری سرعت پایین و هزینههای تراکنش پرهزینه شبکه اصلی اتریوم را با استفاده از «چرخاندنمقدار زیادی از تراکنشهای اتریوم در یک زنجیره جداگانه و سپس انتقال آنها به شبکه اصلی اتریوم به عنوان یک تراکنش واحد. انجام این کار سرعت و مقرون به صرفه بودن تراکنش های اتریوم را به میزان قابل توجهی افزایش می دهد، اما همچنین می تواند کاربران را در معرض آسیب پذیری ها قرار دهد.
0xriptide کشف کرد که پل بین شبکه اصلی اتریوم و Arbitrum Nitro حاوی نقصی است که به هر هکر زحمتکش اجازه میدهد آدرس مقصد Arbitrum را با آدرس خود جایگزین کند. اساساً، هر وجهی که قرار است از اتریوم به Aribitrum سرازیر شود، میتواند مستقیماً به کیف پول یک هکر هدایت شود.
به ازای 0xriptide، یک هکر میتوانست باگ را دستکاری کند تا به طور انتخابی سپردههای فردی عظیم را انتخاب کند و از شناسایی جلوگیری کند، یا کل جریان سپرده ورودی Arbitrum را از بین ببرد. طبق دادههای یک Ethereum، در فاصله زمانی بین اولین عرضه Artibrum Nitro در اواخر ماه اوت و زمانی که 0xriptide به آزمایشگاههای OffChain از این اشکال اطلاع داد، بیش از 400,000 ETH یا 534 میلیون دلار در حال نوشتن، از Ethereum به Arbitrum منتقل شد. تجزیه و تحلیل تپه داشبورد.
0xriptide همچنین اشاره کرد که در سه هفته گذشته، بزرگترین سپرده به Aribtrum 168,000 ETH یا 225 میلیون دلار در زمان نگارش بوده است. با این حال، در آن دوره، هیچ هکری از این باگ سوء استفاده نکرد و Arbitrum هیچ حمله ای را متحمل نشد.
حملات پل زنجیرهای متقاطع مانند حملهای که ۰xriptide ممکن است از آن جلوگیری کند، در دنیای مقیاسکنندههای اتریوم بسیار رایج است. در ماه مارس، گروه لازاروس، یک گروه هکری وابسته به کره شمالی، ETH به ارزش 622 میلیون دلار به سرقت برد با نفوذ به اتریوم sidechain پل استفاده شده توسط بازی برای کسب درآمد Axie Infinity. همون گروه با 100 میلیون دلار در ماه ژوئن ساخته شد با هدف قرار دادن یکی دیگر از پل های زنجیره جانبی اتریوم که توسط پروتکل هارمونی استفاده شده است.
پس از تایید نقص در Arbitrum Nitro، OffChain Labs 0xriptide را با پرداخت 400 ETH یا کمی بیش از 530,000 دلار از طریق پلتفرم باگ بونتی web3 ارسال کرد. ImmuneFi.
"از تیم فوقالعاده مبتنی بر Arbitrum برای ارائه جایزه 400 ETH و البته برای ایجاد یک نوآوری باورنکردنی فنآوری با اجرای L2 تشکر میکنیم. 0xriptide روز دوشنبه نوشت.
با این حال، هکر ممکن است افکار دیگری در مورد ارزش کشف خود داشته باشد. روز سهشنبه، آنها در توییتی نوشتند که با توجه به صدها میلیون دلار صرفهجویی شده، آربیتروم میتوانست سخاوتمندانهتر عمل کند:
از اخبار ارزهای دیجیتال مطلع باشید، بهروزرسانیهای روزانه را در صندوق ورودی خود دریافت کنید.
منبع: https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro