Logo
Поділитися цією статтею

Поштовх до зниження плати за мережу Ethereum відкриває помилку витоку коштів в інструменті масштабування ARBITRUM

Уразливість дозволила б зловмисникам викрасти всі депозити ефіру в ARBITRUM Nitro.

The vulnerability could have allowed attackers to steal all incoming ether deposits to Arbitrum Nitro. (Kevin Ku/Unsplash)
The vulnerability could have allowed attackers to steal all incoming ether deposits to Arbitrum Nitro. (Kevin Ku/Unsplash)

Поспіх у пошуках способу зниження транзакційних витрат у блокчейні Ethereum змусив розробників інструменту масштабування ARBITRUM пропустити зміни в останній версії, які дозволили б зловмисникам викрасти всі кошти, надіслані в мережу.

ARBITRUM заплатив близько 400 ефірів ($530 000) хакеру, який позначив вразливість.

jwp-player-placeholder
Продовження Нижче
Не пропустіть жодної історії.Підпишіться на розсилку The Protocol вже сьогодні. Переглянути Всі Розсилки

Загрозу було виявлено в тому, як транзакції подаються та обробляються в мережі через інструмент, відомий як міст, який дозволяє користувачам передавати токени між різними блокчейнами. Атаки на мости стали ONE з найбільших загроз безпеці Крипто, оскільки за минулий рік було вкрадено майже 1 мільярд доларів.

Хакер у білому капелюсі, відомий як 0xriptide, сказано у дописі у вівторок що вразливість вплине на будь-якого вкладника, який намагатиметься перевести кошти з Ethereum на ARBITRUM Nitro, останню версію Arbitrum.

0xriptide виявив, що всі вхідні транзакції через міст надсилалися за допомогою повідомлень до папки "Затримані вхідні" блокчейну ARBITRUM , яка перевіряла, чи контракти, що стоять за цими транзакціями, перебувають у процесі завершення або вже завершені.

0xriptide виявив, що слоти, призначені для зберігання даних, були порожніми, оскільки функція Nitro, призначена для перевірки транзакцій, автоматично змінила дані. Це дозволило б зловмиснику маніпулювати смарт-контрактом мосту, доступним для всіх, оскільки це програмне забезпечення з відкритим кодом, і встановити свою власну адресу як адресу одержувача.

Єдиний рядок коду не дозволив би будь-кому внести зміни до важливого контракту. Однак його було видалено, щоб забезпечити дешевші транзакції, і створена ним уразливість T була помічена, повідомляє 0xriptide.

«Найбільший депозит, зареєстрований у контракті «Вхідні», становив 168 000 ETH (~250 млн доларів США), а типові загальні депозити за 24-годинний період коливаються від ~1000 до ~5000 ETH». Це означає, що вразливість потенційно могла призвести до сотень мільйонів доларів у вигляді викрадених коштів.

ВИПРАВЛЕННЯ (22 вересня, 15:44 UTC): Виправляє вартість ефіру в доларах у другому абзаці. Оригінальний коефіцієнт був занадто малим у 10 разів.

Shaurya Malwa

Shaurya is the Co-Leader of the CoinDesk tokens and data team in Asia with a focus on crypto derivatives, DeFi, market microstructure, and protocol analysis.

Shaurya holds over $1,000 in BTC, ETH, SOL, AVAX, SUSHI, CRV, NEAR, YFI, YFII, SHIB, DOGE, USDT, USDC, BNB, MANA, MLN, LINK, XMR, ALGO, VET, CAKE, AAVE, COMP, ROOK, TRX, SNX, RUNE, FTM, ZIL, KSM, ENJ, CKB, JOE, GHST, PERP, BTRFLY, OHM, BANANA, ROME, BURGER, SPIRIT, and ORCA.

He provides over $1,000 to liquidity pools on Compound, Curve, SushiSwap, PancakeSwap, BurgerSwap, Orca, AnySwap, SpiritSwap, Rook Protocol, Yearn Finance, Synthetix, Harvest, Redacted Cartel, OlympusDAO, Rome, Trader Joe, and SUN.

Shaurya Malwa