Logo
Реклама
Condividi questo articolo

Попытка сократить комиссии в сети Ethereum открывает ошибку, которая выкачивает средства из инструмента масштабирования ARBITRUM

Уязвимость позволяла злоумышленникам украсть все депозиты эфира в ARBITRUM Nitro.

The vulnerability could have allowed attackers to steal all incoming ether deposits to Arbitrum Nitro. (Kevin Ku/Unsplash)
The vulnerability could have allowed attackers to steal all incoming ether deposits to Arbitrum Nitro. (Kevin Ku/Unsplash)

Спешка в поиске способа снижения транзакционных издержек в блокчейне Ethereum привела к тому, что разработчики инструмента масштабирования ARBITRUM пропустили изменение в последней версии, которое позволило бы злоумышленникам украсть все средства, отправленные в сеть.

ARBITRUM выплатил около 400 эфиров (530 000 долларов США) хакеру, который сообщил об уязвимости.

La storia continua sotto
Non perderti un'altra storia.Iscriviti alla Newsletter The Protocol oggi. Vedi Tutte le Newsletter

Угроза была обнаружена в способе отправки и обработки транзакций в сети с помощью инструмента, известного как мост, который позволяет пользователям передавать токены между различными блокчейнами. Атаки на мосты стали ONE из самых больших угроз безопасности в Криптo, на долю которых пришлось почти 1 миллиард долларов, украденных за последний год.

Белый хакер, известный как 0xriptide,сказал в посте во вторник что уязвимость затронет любого вкладчика, пытающегося перевести средства из Ethereum в ARBITRUM Nitro, последнюю версию Arbitrum.

0xriptide обнаружил, что все входящие транзакции через мост отправлялись посредством сообщения в папку «Отложенные входящие» блокчейна ARBITRUM , которая выполняла проверку, чтобы определить, находятся ли контракты, лежащие в основе этих транзакций, в процессе завершения или уже завершены.

0xriptide обнаружил, что слоты, предназначенные для хранения данных, были пустыми, поскольку функция Nitro, предназначенная для проверки транзакций, автоматически изменила данные. Это позволило бы злоумышленнику манипулировать смарт-контрактом моста — доступным для всех, поскольку это программное обеспечение с открытым исходным кодом — и установить свой собственный адрес в качестве адреса получателя.

Одна строка кода не позволила бы никому вносить изменения в критический контракт. Однако ее удалили, чтобы обеспечить более дешевые транзакции, и уязвимость, которую она создала, T была замечена, сказал 0xriptide.

«Самый большой депозит, зафиксированный по контракту Inbox, составил 168 000 ETH (~250 млн долларов США), при этом типичная общая сумма депозитов за 24-часовой период составляет от ~1000 до ~5000 ETH». Это означает, что уязвимость потенциально могла привести к краже сотен миллионов долларов.

ИСПРАВЛЕНИЕ (22 сентября, 15:44 UTC):Исправляет долларовую стоимость эфира во втором абзаце. Оригинал был на 10 меньше.

Shaurya Malwa

Shaurya is the Co-Leader of the CoinDesk tokens and data team in Asia with a focus on crypto derivatives, DeFi, market microstructure, and protocol analysis.

Shaurya holds over $1,000 in BTC, ETH, SOL, AVAX, SUSHI, CRV, NEAR, YFI, YFII, SHIB, DOGE, USDT, USDC, BNB, MANA, MLN, LINK, XMR, ALGO, VET, CAKE, AAVE, COMP, ROOK, TRX, SNX, RUNE, FTM, ZIL, KSM, ENJ, CKB, JOE, GHST, PERP, BTRFLY, OHM, BANANA, ROME, BURGER, SPIRIT, and ORCA.

He provides over $1,000 to liquidity pools on Compound, Curve, SushiSwap, PancakeSwap, BurgerSwap, Orca, AnySwap, SpiritSwap, Rook Protocol, Yearn Finance, Synthetix, Harvest, Redacted Cartel, OlympusDAO, Rome, Trader Joe, and SUN.

Shaurya Malwa