Un pirate informatique a découvert un bogue dans la dernière mise à jour d’Arbitrum, un réseau d’échange d’Ethereum, qui aurait pu entraîner le vol de plus de 530 millions de dollars.
Le constructeur d’Arbitrum, OffChain Labs, a récompensé en début de semaine le hacker, qui opère sous le pseudonyme de 0xriptide, d’une prime de 400 ETH (d’une valeur d’environ 530 000 dollars) pour avoir partagé sa découverte.
Arbitrum a lancé sa dernière mise à jour, Nitro, le 31 août, en prévision de la fusion Ethereum, la transition récente et très attendue du réseau Ethereum d’un mécanisme de consensus de type proof-of-work à un mécanisme de proof of stake.
Immédiatement après le lancement d’Arbitrum Nitro, 0xriptide a commencé à parcourir son code à la recherche d’éventuelles vulnérabilités, selon un billet de blog détaillant la découverte.
Les réseaux de mise à l’échelle d’Ethereum comme Arbitrum contournent la lenteur du réseau principal d’Ethereum et les frais de transaction onéreux en « roulant » une grande quantité de transactions Ethereum sur une chaîne distincte, puis en les relayant au réseau principal d’Ethereum en une seule transaction. Cette méthode augmente considérablement la vitesse et le coût des transactions Ethereum, mais elle peut également exposer les utilisateurs à des vulnérabilités.
0xriptide a découvert que le pont entre le réseau principal d’Ethereum et Arbitrum Nitro contenait une faille qui permettait à tout pirate assidu de remplacer l’adresse de destination d’Arbitrum par la sienne. En fait, tous les fonds destinés à être transférés d’Ethereum vers Arbitrum pourraient être redirigés directement vers le portefeuille d’un pirate.
D’après 0xriptide, un pirate aurait pu manipuler le bug soit pour choisir des dépôts individuels massifs et éviter la détection, soit pour siphonner l’ensemble des dépôts entrants d’Arbitrum. Entre le lancement d’Artibrum Nitro fin août et le moment où 0xriptide a signalé le bug à OffChain Labs, plus de 400 000 ETH, soit 534 millions de dollars à l’écriture, sont passés d’Ethereum à Arbitrum, selon les données d’un tableau de bord de Dune Analytics.
0xriptide a également noté qu’au cours des trois dernières semaines, le plus gros dépôt unique vers Aribtrum s’est élevé à 168 000 ETH, soit 225 millions de dollars au moment de la rédaction. Au cours de cette période, cependant, aucun pirate n’a exploité le bogue, et Arbitrum n’a subi aucune attaque.
Les attaques de type « cross-chain bridge », comme celle que 0xriptide a peut-être empêchée, ne sont que trop courantes dans le monde des scalers Ethereum. En mars, Lazarus Group, un groupe de pirates affilié à la Corée du Nord, a volé 622 millions de dollars d’ETH en infiltrant un pont de la chaîne latérale d’Ethereum utilisé par le jeu Axie Infinity. Ce même groupe s’est emparé de 100 millions de dollars en juin en ciblant un autre pont Ethereum sidechain utilisé par Harmony Protocol.
Prix de l’Ethereum (26 septembre)
Après confirmation de la faille dans Arbitrum Nitro, OffChain Labs a envoyé à 0xriptide un paiement de 400 ETH, soit un peu plus de 530 000 $, par le biais de la plateforme de primes aux bugs ImmuneFi.
« Thank you » – « Thank you ».
« Merci à l’équipe d’Arbitrum, qui est extrêmement bien basée, pour avoir fourni une prime de 400 ETH, et bien sûr pour avoir créé une incroyable pièce d’innovation technologique avec leur implémentation L2 », a écrit 0xriptide lundi.
Cependant, le pirate a peut-être changé d’avis sur la valeur de sa découverte. Mardi, ils ont tweeté que, compte tenu des centaines de millions de dollars économisés, Arbitrum aurait pu être plus généreux :
No big deal just bridging a cool $470mm through the same Inbox contract 👀
Il devrait certainement être éligible pour une prime maximale.
– riptide (@0xriptide) September 20, 2022
