Hacker v bílém klobouku objevil v nejnovějším upgradu pro Arbitrum, škálovací síť Ethereum, chybu, která mohla vést k odcizení více než 530 milionů dolarů.
Tvůrce Arbitrum, společnost OffChain Labs, začátkem tohoto týdne odměnila hackera, který vystupuje pod pseudonymem 0xriptide, odměnou 400 ETH (v hodnotě přibližně 530 000 USD) za to, že se o objev podělil.
Arbitrum spustilo svůj nejnovější upgrade Nitro 31. srpna v očekávání fúze Etherea, nedávného a velmi očekávaného přechodu sítě Ethereum z konsensuálního mechanismu proof-of-work na proof of stake.
Okamžitě po spuštění Arbitrum Nitro začala společnost 0xriptide prohledávat jeho kód a hledat případné zranitelnosti, jak se uvádí v příspěvku na blogu, kde je toto zjištění podrobně popsáno.
Sítě pro škálování Etherea, jako je Arbitrum, se vypořádávají s pomalou rychlostí mainnetu Etherea a nákladnými transakčními poplatky tím, že „srolují“ velké množství transakcí Etherea na samostatný řetězec a poté je předají zpět do mainnetu Etherea jako jedinou transakci. Takový postup podstatně zvyšuje rychlost a cenovou dostupnost transakcí Ethereum, ale také může uživatele vystavit zranitelnostem.
0xriptide zjistil, že most mezi mainnetem Etherea a Arbitrum Nitro obsahuje chybu, která by umožnila každému snaživému hackerovi nahradit cílovou adresu Arbitrum svou vlastní. V podstatě všechny prostředky, které měly proudit z Etherea do Aribitrum, mohly být místo toho přesměrovány přímo do hackerovy peněženky.
Podle 0xriptide mohl hacker chybu zmanipulovat tak, aby buď selektivně vybral masivní jednotlivé vklady a vyhnul se odhalení, nebo odčerpal celý příchozí tok vkladů Arbitrum. V období mezi debutem Artibrum Nitro na konci srpna a okamžikem, kdy 0xriptide oznámil OffChain Labs chybu, se podle údajů z dashboardu Dune Analytics do Arbitrum přesunulo z Etherea více než 400 000 ETH, což je při zápisu 534 milionů dolarů.
0xriptide také poznamenal, že během posledních tří týdnů činil největší jednotlivý vklad do Aribtrum 168 000 ETH, tedy 225 milionů dolarů při psaní článku. V tomto období však žádný hacker chybu nezneužil a Arbitrum neutrpělo žádný útok.
Takzvané cross-chain bridge útoky, jako byl ten, kterému 0xriptide možná zabránil, jsou ve světě Ethereum scalers až příliš časté. V březnu ukradla skupina Lazarus Group, hackerská skupina napojená na Severní Koreu, ETH v hodnotě 622 milionů dolarů tím, že infiltrovala bridge postranního řetězce Etherea, který používala hra Axie Infinity. Stejná skupina v červnu utekla se 100 miliony dolarů, když se zaměřila na další Ethereum sidechain bridge využívaný hrou Harmony Protocol.
Cena Etherea (26. září)
Po potvrzení chyby v Arbitrum Nitro zaslala společnost OffChain Labs společnosti 0xriptide prostřednictvím platformy Web3 pro odměňování chyb ImmuneFi platbu ve výši 400 ETH, tedy něco přes 530 000 USD.
„Děkujeme extrémně založenému týmu Arbitrum za poskytnutí odměny 400 ETH a samozřejmě za vytvoření neuvěřitelného kusu technologické inovace s jejich implementací L2,“ napsal v pondělí 0xriptide.
Hacker si však možná hodnotu svého objevu rozmyslel. V úterý na Twitteru napsali, že vzhledem k ušetřeným stovkám milionů dolarů mohlo být Arbitrum štědřejší:
Nic velkého, jen přemostění chladných 470 milionů dolarů prostřednictvím stejné smlouvy Inbox 👀.
Rozhodně by měl mít nárok na maximální odměnu.
– riptide (@0xriptide) 20. září 2022
