Поделиться этой статьей

Попытка сократить комиссии в сети Ethereum открывает ошибку, которая выкачивает средства из инструмента масштабирования ARBITRUM

Уязвимость позволяла злоумышленникам украсть все депозиты эфира в ARBITRUM Nitro.

Обновлено 11 мая 2023 г., 5:26 p.m. Опубликовано 21 сент. 2022 г., 9:27 a.m. Переведено ИИ

The vulnerability could have allowed attackers to steal all incoming ether deposits to Arbitrum Nitro. (Kevin Ku/Unsplash)

Спешка в поиске способа снижения транзакционных издержек в блокчейне Ethereum привела к тому, что разработчики инструмента масштабирования ARBITRUM пропустили изменение в последней версии, которое позволило бы злоумышленникам украсть все средства, отправленные в сеть.

ARBITRUM выплатил около 400 эфиров (530 000 долларов США) хакеру, который сообщил об уязвимости.

Продолжение Читайте Ниже

Не пропустите другую историю.Подпишитесь на рассылку The Protocol сегодня. Просмотреть все рассылки

Подписавшись, вы будете получать электронные письма о продуктах CoinDesk и соглашаетесь с нашим правила пользования и политика конфиденциальности.

Угроза была обнаружена в способе отправки и обработки транзакций в сети с помощью инструмента, известного как мост, который позволяет пользователям передавать токены между различными блокчейнами. Атаки на мосты стали ONE из самых больших угроз безопасности в Криптo, на долю которых пришлось почти 1 миллиард долларов, украденных за последний год.

Белый хакер, известный как 0xriptide,сказал в посте во вторник что уязвимость затронет любого вкладчика, пытающегося перевести средства из Ethereum в ARBITRUM Nitro, последнюю версию Arbitrum.

My bug bounty write-up on a critical vulnerability I discovered on Arbitrum Nitro which allowed an attacker to steal all incoming ETH deposits to the L1->L2 bridge
https://t.co/WuR4RYUL3L @icodeblockchain @samiamka2 @Mudit__Gupta @0xRecruiter @BowTiedCrocodil @BowTiedDevil
— riptide (@0xriptide) September 20, 2022

0xriptide обнаружил, что все входящие транзакции через мост отправлялись посредством сообщения в папку «Отложенные входящие» блокчейна ARBITRUM , которая выполняла проверку, чтобы определить, находятся ли контракты, лежащие в основе этих транзакций, в процессе завершения или уже завершены.

0xriptide обнаружил, что слоты, предназначенные для хранения данных, были пустыми, поскольку функция Nitro, предназначенная для проверки транзакций, автоматически изменила данные. Это позволило бы злоумышленнику манипулировать смарт-контрактом моста — доступным для всех, поскольку это программное обеспечение с открытым исходным кодом — и установить свой собственный адрес в качестве адреса получателя.

Одна строка кода не позволила бы никому вносить изменения в критический контракт. Однако ее удалили, чтобы обеспечить более дешевые транзакции, и уязвимость, которую она создала, T была замечена, сказал 0xriptide.

«Самый большой депозит, зафиксированный по контракту Inbox, составил 168 000 ETH (~250 млн долларов США), при этом типичная общая сумма депозитов за 24-часовой период составляет от ~1000 до ~5000 ETH». Это означает, что уязвимость потенциально могла привести к краже сотен миллионов долларов.

ИСПРАВЛЕНИЕ (22 сентября, 15:44 UTC):Исправляет долларовую стоимость эфира во втором абзаце. Оригинал был на 10 меньше.

DeFi Hack Ether Arbitrum

Shaurya Malwa

Шаурья — соруководитель группы по токенам и данным CoinDesk в Азии, специализирующейся на Криптo деривативах, DeFi, микроструктуре рынка и анализе протоколов. У Шаурьи есть более 1000 долларов в BTC, ETH, SOL, AVAX, SUSHI, CRV, NEAR, YFI, YFII, SHIB, DOGE, USDT, USDC, BNB, MANA, MLN, LINK, XMR, ALGO, VET, CAKE, Aave, COMP, ROOK, TRX, SNX, RUNE, FTM, ZIL, KSM, ENJ, CKB, JOE, GHST, PERP, BTRFLY, OHM, BANANA, ROME, BURGER, SPIRIT и ORCA. Он предоставляет более 1000 долларов США пулам ликвидности на Compound, Curve, Sushiswap, PancakeSwap, BurgerSwap, ORCA, AnySwap, SpiritSwap, Rook Protocol, Yearn Финансы, Synthetix, Harvest, Redacted Cartel, OlympusDAO, Rome, Trader JOE и MON.