La réduction des frais du réseau Ethereum ouvre un bug qui draine les fonds dans l'outil de mise à l'échelle ARBITRUM

La précipitation à trouver un moyen de réduire les coûts de transaction sur la blockchain Ethereum a conduit les développeurs de l'outil de mise à l'échelle ARBITRUM à manquer un changement dans la dernière version qui aurait permis aux attaquants de voler tous les fonds envoyés au réseau.

ARBITRUM a payé environ 400 ethers (530 000 dollars) au pirate informatique qui a signalé la vulnérabilité.

La menace a été détectée dans la manière dont les transactions sont soumises et traitées sur le réseau, via un outil appelé « pont », qui permet aux utilisateurs de transférer des jetons entre différentes blockchains. Les attaques contre les ponts sont devenues ONEune des plus grandes menaces pour la sécurité des Crypto, représentant près d'un milliard de dollars volés l'année dernière.

Le hacker white hat, connu sous le nom de 0xriptide,a déclaré dans un message publié mardi que la vulnérabilité affecterait tout déposant tentant de transférer des fonds d' Ethereum vers ARBITRUM Nitro, la dernière version d'Arbitrum.

0xriptide a découvert que toutes les transactions entrantes via le pont étaient envoyées via un message à la boîte de réception différée de la blockchain ARBITRUM , qui effectuait une vérification pour voir si les contrats derrière ces transactions étaient en cours d'achèvement ou avaient déjà été terminés.

0xriptide a découvert que les emplacements destinés au stockage des données étaient vides, car une fonction Nitro destinée à vérifier les transactions modifiait automatiquement les données. Cela aurait permis à un acteur malveillant de manipuler le contrat intelligent du pont – accessible à tous car il s'agit d'un logiciel open source – et de définir sa propre adresse comme adresse de réception.

Une seule ligne de code aurait empêché quiconque de modifier le contrat critique. Elle a cependant été supprimée pour permettre des transactions moins coûteuses, et la vulnérabilité ainsi créée n'a T été détectée, a déclaré 0xriptide.

Le dépôt le plus important enregistré sur le contrat de la boîte de réception s'élevait à 168 000 ETH (environ 250 millions de dollars), le total des dépôts sur une période de 24 heures variant généralement de 1 000 à 5 000 ETH. Cette vulnérabilité aurait donc pu entraîner le vol de centaines de millions de dollars.

CORRECTION (22 septembre, 15h44 UTC) :Corrige la valeur en dollars de l'éther dans le deuxième paragraphe. L'original était 10 fois trop petit.