Push to Cut Ethereum Network Fees Binubuksan ang Funds-Draining Bug sa Scaling Tool ARBITRUM

Ang pagmamadali sa paghahanap ng paraan ng pagpapababa ng mga gastos sa transaksyon sa Ethereum blockchain ay humantong sa mga developer sa likod ng scaling tool na ARBITRUM na makaligtaan ang pagbabago sa pinakabagong bersyon na magpapahintulot sa mga umaatake na nakawin ang lahat ng mga pondong ipinadala sa network.

Nagbayad ARBITRUM ng humigit-kumulang 400 ether ($530,000) sa hacker na nag-flag ng kahinaan.

Ang pagbabanta ay natagpuan sa paraan ng pagsusumite at pagpoproseso ng mga transaksyon sa network, sa pamamagitan ng isang tool na kilala bilang isang tulay, na nagpapahintulot sa mga user na maglipat ng mga token sa pagitan ng iba't ibang blockchain. Ang mga pag-atake sa mga tulay ay naging ONE sa pinakamalaking banta sa seguridad sa Crypto, na nagkakahalaga ng halos $1 bilyon na ninakaw noong nakaraang taon.

Ang white-hat hacker, na kilala bilang 0xriptide, sinabi sa isang post noong Martes na ang kahinaan ay makakaapekto sa sinumang depositor na nagtatangkang i-bridge ang mga pondo mula sa Ethereum patungo sa ARBITRUM Nitro, ang pinakabagong bersyon ng Arbitrum.

Natuklasan ng 0xriptide na ang lahat ng mga papasok na transaksyon sa pamamagitan ng tulay ay ipinadala sa pamamagitan ng isang mensahe sa Naantala na Inbox ng ARBITRUM blockchain, na nagpatakbo ng pagsusuri upang makita kung ang mga kontrata sa likod ng mga transaksyong iyon ay nasa proseso ng pagkumpleto o nakumpleto na.

Nalaman ng 0xriptide na ang mga slot para sa pag-iimbak ng data ay walang laman dahil ang isang Nitro function na nilalayong i-verify ang mga transaksyon ay awtomatikong binago ang data. Iyon ay magbibigay-daan sa isang masamang aktor na manipulahin ang matalinong kontrata ng tulay - naa-access ng lahat dahil ito ay open-source na software - at itakda ang kanilang sariling address bilang isang address ng tatanggap.

Ang isang linya ng code ay pumigil sa sinuman na gumawa ng mga pagbabago sa kritikal na kontrata. Gayunpaman, inalis ito upang payagan ang mga mas murang transaksyon at T napansin ang kahinaan na nilikha nito, sabi ng 0xriptide.

"Ang pinakamalaking deposito na naitala sa kontrata ng inbox ay 168,000 ETH (~$250mm) na may karaniwang kabuuang mga deposito sa loob ng 24 na oras na panahon mula ~1000 hanggang ~5000 ETH." Nangangahulugan ito na ang kahinaan ay maaaring humantong sa daan-daang milyong dolyar sa mga ninakaw na pondo.

PAGWAWASTO (Set. 22, 15:44 UTC): Itinutuwid ang halaga ng dolyar ng eter sa ikalawang talata. Ang orihinal ay isang kadahilanan ng 10 masyadong maliit.