Haker w białym kapeluszu odkrył błąd w najnowszej aktualizacji dla Arbitrum, sieci skalującej Ethereum, który mógł doprowadzić do kradzieży ponad 530 milionów dolarów.
Twórca Arbitrum, OffChain Labs, na początku tego tygodnia nagrodził hakera, który działa pod pseudonimem 0xriptide, bounty w wysokości 400 ETH (o wartości około 530 000 dolarów) za podzielenie się odkryciem.
Arbitrum uruchomiło swoją najnowszą aktualizację, Nitro, 31 sierpnia, w oczekiwaniu na Ethereum merge, niedawne i bardzo oczekiwane przejście sieci Ethereum z mechanizmu konsensusu proof-of-work na proof of stake.
Natychmiast po uruchomieniu Arbitrum Nitro, 0xriptide rozpoczął przeszukiwanie jego kodu w poszukiwaniu jakichkolwiek luk, zgodnie z wpisem na blogu opisującym odkrycie.
Sieci skalujące Ethereum, takie jak Arbitrum, radzą sobie z powolną prędkością sieci głównej Ethereum i kosztownymi opłatami za transakcje poprzez „zwijanie” dużej ilości transakcji Ethereum na oddzielnym łańcuchu, a następnie przekazywanie ich z powrotem do sieci głównej Ethereum jako pojedynczej transakcji. Takie działanie znacznie zwiększa szybkość i przystępność transakcji Ethereum, ale może również narazić użytkowników na podatności.
0xriptide odkrył, że most pomiędzy główną siecią Ethereum a Arbitrum Nitro zawierał lukę, która pozwalała każdemu pracowitemu hakerowi na zastąpienie adresu docelowego Arbitrum swoim własnym. Zasadniczo, wszelkie środki, które miały przepłynąć z Ethereum do Aribitrum, mogłyby zamiast tego zostać przekierowane prosto do portfela hakera.
Według 0xriptide, haker mógł zmanipulować błąd, aby albo selektywnie wybrać masywne indywidualne depozyty i uniknąć wykrycia, albo zassać cały przychodzący strumień depozytów Arbitrum. W okresie pomiędzy debiutem Artibrum Nitro pod koniec sierpnia a momentem, gdy 0xriptide powiadomił OffChain Labs o błędzie, ponad 400 000 ETH, czyli 534 miliony dolarów w momencie zapisu, przeniosło się do Arbitrum z Ethereum, zgodnie z danymi z dashboardu Dune Analytics.
0xriptide zauważył również, że w ciągu ostatnich trzech tygodni największy pojedynczy depozyt do Aribtrum wyniósł 168 000 ETH, czyli 225 milionów dolarów w momencie pisania. W tym okresie jednak żaden haker nie wykorzystał błędu, a Arbitrum nie doznało żadnych ataków.
Tak zwane ataki mostów cross-chain, jak ten, któremu mógł zapobiec 0xriptide, są aż nazbyt powszechne w świecie skalerów Ethereum. W marcu Lazarus Group, grupa hakerska powiązana z Koreą Północną, ukradła ETH o wartości 622 milionów dolarów poprzez infiltrację mostu Ethereum sidechain używanego przez grę play-to-earn Axie Infinity. Ta sama grupa ukradła 100 milionów dolarów w czerwcu, atakując inny most Ethereum sidechain wykorzystywany przez Harmony Protocol.
Ethereum Price (26th Sep)
Po potwierdzeniu luki w Arbitrum Nitro, OffChain Labs wysłał 0xriptide płatność w wysokości 400 ETH, czyli nieco ponad 530 000 dolarów, za pośrednictwem platformy web3 bug bounty ImmuneFi.
„Dziękuję niezwykle opartemu zespołowi Arbitrum za zapewnienie 400 ETH bounty, i oczywiście za stworzenie niesamowitego kawałka innowacji technologicznej z ich implementacją L2” – napisał w poniedziałek 0xriptide.
Hakerzy mogli jednak rozwinąć drugie myśli na temat wartości ich odkrycia. We wtorek zatweetowali, że biorąc pod uwagę setki milionów zaoszczędzonych dolarów, Arbitrum mogło być bardziej hojne:
No big deal just bridging a cool $470mm through the same Inbox contract 👀
Zdecydowanie powinien być uprawniony do maksymalnego bounty.
– riptide (@0xriptide) 20 września 2022
