El intento de reducir las tarifas de la red Ethereum abre un error que drena fondos en la herramienta de escalado ARBITRUM

La prisa por encontrar una forma de reducir los costos de transacción en la cadena de bloques Ethereum llevó a los desarrolladores detrás de la herramienta de escalamiento ARBITRUM a pasar por alto un cambio en la última versión que habría permitido a los atacantes robar todos los fondos enviados a la red.

ARBITRUM pagó alrededor de 400 ether (530.000 dólares) al pirata informático que señaló la vulnerabilidad.

La amenaza se detectó en la forma en que se envían y procesan las transacciones en la red, a través de una herramienta conocida como puente, que permite a los usuarios transferir tokens entre diferentes cadenas de bloques. Los ataques a puentes se han convertido en una de las mayores amenazas de seguridad en el Cripto, representando el robo de casi mil millones de dólares el año pasado.

El hacker de sombrero blanco, conocido como 0xriptide,dijo en una publicación del martes que la vulnerabilidad afectaría a cualquier depositante que intente transferir fondos de Ethereum a ARBITRUM Nitro, la última versión de Arbitrum.

0xriptide descubrió que todas las transacciones entrantes a través del puente se enviaban a través de un mensaje a la Bandeja de entrada retrasada de la cadena de bloques ARBITRUM , que ejecutaba una verificación para ver si los contratos detrás de esas transacciones estaban en proceso de finalización o ya se habían completado.

0xriptide descubrió que las ranuras destinadas al almacenamiento de datos estaban vacías porque una función de Nitro, encargada de verificar las transacciones, modificaba automáticamente los datos. Esto habría permitido que un atacante manipulara el contrato inteligente del puente (accesible para todos por ser software de código abierto) y estableciera su propia dirección como dirección de recepción.

Una sola línea de código habría impedido que alguien modificara el contrato crítico. Sin embargo, se eliminó para permitir transacciones más económicas y la vulnerabilidad que creó pasó T , afirmó 0xriptide.

El mayor depósito registrado en el contrato de la bandeja de entrada fue de 168.000 ETH (unos 250 millones de dólares), con depósitos totales típicos en un período de 24 horas que oscilan entre 1.000 y 5.000 ETH. Esto significa que la vulnerabilidad podría haber provocado el robo de cientos de millones de dólares.

CORRECCIÓN (22 de septiembre, 15:44 UTC):Corrige el valor en dólares de Ether en el segundo párrafo. El original era 10 veces menor.