Logo
Share this article

La réduction des frais du réseau Ethereum ouvre un bug qui draine les fonds dans l'outil de mise à l'échelle ARBITRUM

La vulnérabilité aurait permis aux attaquants de voler tous les dépôts d'éther dans ARBITRUM Nitro.

The vulnerability could have allowed attackers to steal all incoming ether deposits to Arbitrum Nitro. (Kevin Ku/Unsplash)
The vulnerability could have allowed attackers to steal all incoming ether deposits to Arbitrum Nitro. (Kevin Ku/Unsplash)

La précipitation à trouver un moyen de réduire les coûts de transaction sur la blockchain Ethereum a conduit les développeurs de l'outil de mise à l'échelle ARBITRUM à manquer un changement dans la dernière version qui aurait permis aux attaquants de voler tous les fonds envoyés au réseau.

ARBITRUM a payé environ 400 ethers (530 000 dollars) au pirate informatique qui a signalé la vulnérabilité.

jwp-player-placeholder
Ipagpatuloy Ang Kwento Sa Baba
Don't miss another story.Subscribe to the The Protocol Newsletter today. Tingnan ang Lahat ng mga Newsletter

La menace a été détectée dans la manière dont les transactions sont soumises et traitées sur le réseau, via un outil appelé « pont », qui permet aux utilisateurs de transférer des jetons entre différentes blockchains. Les attaques contre les ponts sont devenues ONEune des plus grandes menaces pour la sécurité des Crypto, représentant près d'un milliard de dollars volés l'année dernière.

Le hacker white hat, connu sous le nom de 0xriptide,a déclaré dans un message publié mardi que la vulnérabilité affecterait tout déposant tentant de transférer des fonds d' Ethereum vers ARBITRUM Nitro, la dernière version d'Arbitrum.

0xriptide a découvert que toutes les transactions entrantes via le pont étaient envoyées via un message à la boîte de réception différée de la blockchain ARBITRUM , qui effectuait une vérification pour voir si les contrats derrière ces transactions étaient en cours d'achèvement ou avaient déjà été terminés.

0xriptide a découvert que les emplacements destinés au stockage des données étaient vides, car une fonction Nitro destinée à vérifier les transactions modifiait automatiquement les données. Cela aurait permis à un acteur malveillant de manipuler le contrat intelligent du pont – accessible à tous car il s'agit d'un logiciel open source – et de définir sa propre adresse comme adresse de réception.

Une seule ligne de code aurait empêché quiconque de modifier le contrat critique. Elle a cependant été supprimée pour permettre des transactions moins coûteuses, et la vulnérabilité ainsi créée n'a T été détectée, a déclaré 0xriptide.

Le dépôt le plus important enregistré sur le contrat de la boîte de réception s'élevait à 168 000 ETH (environ 250 millions de dollars), le total des dépôts sur une période de 24 heures variant généralement de 1 000 à 5 000 ETH. Cette vulnérabilité aurait donc pu entraîner le vol de centaines de millions de dollars.

CORRECTION (22 septembre, 15h44 UTC) :Corrige la valeur en dollars de l'éther dans le deuxième paragraphe. L'original était 10 fois trop petit.

Shaurya Malwa

Shaurya is the Co-Leader of the CoinDesk tokens and data team in Asia with a focus on crypto derivatives, DeFi, market microstructure, and protocol analysis.

Shaurya holds over $1,000 in BTC, ETH, SOL, AVAX, SUSHI, CRV, NEAR, YFI, YFII, SHIB, DOGE, USDT, USDC, BNB, MANA, MLN, LINK, XMR, ALGO, VET, CAKE, AAVE, COMP, ROOK, TRX, SNX, RUNE, FTM, ZIL, KSM, ENJ, CKB, JOE, GHST, PERP, BTRFLY, OHM, BANANA, ROME, BURGER, SPIRIT, and ORCA.

He provides over $1,000 to liquidity pools on Compound, Curve, SushiSwap, PancakeSwap, BurgerSwap, Orca, AnySwap, SpiritSwap, Rook Protocol, Yearn Finance, Synthetix, Harvest, Redacted Cartel, OlympusDAO, Rome, Trader Joe, and SUN.

Shaurya Malwa