黑客在 Nitro 升級中從以太坊耗盡漏洞中拯救了 Abritrum

一位白帽黑客在 Arbitrum 的最新升級中發現了一個錯誤, 以太幣 擴展網絡,這可能導致超過 530 億美元的盜竊。 

本週早些時候,Arbitrum 建設者 OffChain Labs 獎勵了這位化名操作的黑客 0xriptide,有 400 ETH(價值約 530,000 美元)的賞金用於分享這一發現。 

Arbitrum 於 31 月 XNUMX 日推出了最新的升級版 Nitro, 以太坊合併, 以太坊網絡最近和備受期待的從工作量證明共識機製到 股權證明.

據一家公司稱,在 Arbitrum Nitro 推出後,0xriptide 立即開始搜索其代碼以尋找任何漏洞。 博客文章 詳細說明這一發現。

以太坊擴展網絡,如 仲裁 通過“瀏覽以太坊主網的緩慢速度和昂貴的交易費用”捲起” 在一條單獨的鏈上進行大量以太坊交易,然後將它們作為單個交易轉發回以太坊主網。 這樣做大大提高了以太坊交易的速度和可負擔性,但也可能使用戶面臨漏洞。 

0xriptide 發現以太坊主網和 Arbitrum Nitro 之間的橋樑存在一個缺陷,任何勤奮的黑客都可以用自己的地址替換 Arbitrum 的目標地址。 從本質上講,任何打算從以太坊流入 Aribitrum 的資金都可以直接轉入黑客的錢包。 

根據 0xriptide,黑客可能已經操縱了該漏洞,以選擇性地提取大量個人存款並避免被發現,或者吸走 Arbitrum 的整個傳入存款流。 根據來自一家 沙丘分析 儀表板。 

0xriptide 還指出,在過去三週內,Aribtrum 的最大單筆存款為 168,000 ETH,即 225 億美元。 然而,在那段時間裡,沒有黑客利用這個漏洞,Arbitrum 也沒有受到攻擊。 

像 0xriptide 這樣的所謂跨鏈橋攻擊可能已經阻止,在以太坊縮放器的世界中太常見了。 XNUMX 月,隸屬於朝鮮的黑客組織 Lazarus Group, 偷走了價值 622 萬美元的 ETH 通過滲透以太坊 側鏈 Play-to-earn 遊戲 Axie Infinity 使用的橋。 同一組 100月被帶走XNUMX億美元 通過針對 Harmony 協議使用的另一個以太坊側鏈橋。 

在確認 Arbitrum Nitro 的缺陷後,OffChain Labs 通過 web0 漏洞賞金平台向 400xriptide 發送了 530,000 ETH 或略高於 3 美元的付款 免疫.

感謝非常基礎的 A​​rbitrum 團隊提供 400 ETH 賞金,當然還感謝他們通過他們的 L2 實施創造了一項令人難以置信的技術創新,” 0xriptide 週一寫道。 

然而,黑客可能已經對他們的發現的價值產生了第二個想法。 週二,他們在推特上表示,鑑於節省了數億美元,Arbitrum 本來可以更加慷慨: 

隨時了解加密新聞,在您的收件箱中獲取每日更新。

資料來源:https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro