Share this article
BTC
$86,757.33
+
2.01%ETH
$1,613.96
+
0.40%USDT
$0.9996
-
0.01%XRP
$2.1111
+
1.44%BNB
$598.26
+
0.74%SOL
$141.64
+
1.54%USDC
$0.9997
-
0.00%DOGE
$0.1596
+
1.66%TRX
$0.2450
-
0.20%ADA
$0.6368
+
1.38%LINK
$13.54
+
4.69%LEO
$9.2501
-
0.61%AVAX
$19.99
+
0.73%XLM
$0.2498
+
1.40%TON
$3.0235
+
2.19%SHIB
$0.0₄1259
+
2.01%HBAR
$0.1703
+
2.03%SUI
$2.1699
+
1.38%BCH
$340.96
+
0.52%HYPE
$18.10
-
0.06%Зареєструватися
- Повернутися до менюЦіни
- Повернутися до менюдослідження
- Повернутися до менюКонсенсус
- Повернутися до менюСпонсорський матеріал
- Повернутися до меню
- Повернутися до меню
- Повернутися до меню
- Повернутися до менюВебінари та Заходи
Поштовх до зниження плати за мережу Ethereum відкриває помилку витоку коштів в інструменті масштабування ARBITRUM
Уразливість дозволила б зловмисникам викрасти всі депозити ефіру в ARBITRUM Nitro.
Поспіх у пошуках способу зниження транзакційних витрат у блокчейні Ethereum змусив розробників інструменту масштабування ARBITRUM пропустити зміни в останній версії, які дозволили б зловмисникам викрасти всі кошти, надіслані в мережу.
ARBITRUM заплатив близько 400 ефірів ($530 000) хакеру, який позначив вразливість.
STORY CONTINUES BELOW
Загрозу було виявлено в тому, як транзакції подаються та обробляються в мережі через інструмент, відомий як міст, який дозволяє користувачам передавати токени між різними блокчейнами. Атаки на мости стали ONE з найбільших загроз безпеці Крипто, оскільки за минулий рік було вкрадено майже 1 мільярд доларів.
Хакер у білому капелюсі, відомий як 0xriptide, сказано у дописі у вівторок що вразливість вплине на будь-якого вкладника, який намагатиметься перевести кошти з Ethereum на ARBITRUM Nitro, останню версію Arbitrum.
My bug bounty write-up on a critical vulnerability I discovered on Arbitrum Nitro which allowed an attacker to steal all incoming ETH deposits to the L1->L2 bridge
— riptide (@0xriptide) September 20, 2022
https://t.co/WuR4RYUL3L@icodeblockchain @samiamka2 @Mudit__Gupta @0xRecruiter @BowTiedCrocodil @BowTiedDevil
0xriptide виявив, що всі вхідні транзакції через міст надсилалися за допомогою повідомлень до папки "Затримані вхідні" блокчейну ARBITRUM , яка перевіряла, чи контракти, що стоять за цими транзакціями, перебувають у процесі завершення або вже завершені.
0xriptide виявив, що слоти, призначені для зберігання даних, були порожніми, оскільки функція Nitro, призначена для перевірки транзакцій, автоматично змінила дані. Це дозволило б зловмиснику маніпулювати смарт-контрактом мосту, доступним для всіх, оскільки це програмне забезпечення з відкритим кодом, і встановити свою власну адресу як адресу одержувача.
Єдиний рядок коду не дозволив би будь-кому внести зміни до важливого контракту. Однак його було видалено, щоб забезпечити дешевші транзакції, і створена ним уразливість T була помічена, повідомляє 0xriptide.
«Найбільший депозит, зареєстрований у контракті «Вхідні», становив 168 000 ETH (~250 млн доларів США), а типові загальні депозити за 24-годинний період коливаються від ~1000 до ~5000 ETH». Це означає, що вразливість потенційно могла призвести до сотень мільйонів доларів у вигляді викрадених коштів.
ВИПРАВЛЕННЯ (22 вересня, 15:44 UTC): Виправляє вартість ефіру в доларах у другому абзаці. Оригінальний коефіцієнт був занадто малим у 10 разів.
Shaurya Malwa
Шаурія є співкерівником групи токенів і даних CoinDesk в Азії з фокусом на Крипто деривативах, DeFi, мікроструктурі ринку та аналізі протоколів.
Шаур’я володіє понад 1000 доларів у BTC, ETH, SOL, AVAX, SUSHI, CRV, NEAR, YFI, YFII, SHIB, DOGE, USDT, USDC, BNB, MANA, MLN, LINK, XMR, ALGO, VET, CAKE, Aave, COMP, ROOK, TRX, SNX, RUNE, FTM, ZIL, KSM, ENJ, CKB, JOE, GHST, PERP, BTRFLY, OHM, BANANA, ROME, BURGER, SPIRIT і ORCA.
Він надає понад 1000 доларів США пулам ліквідності на Compound, Curve, Sushiswap, PancakeSwap, BurgerSwap, ORCA, AnySwap, SpiritSwap, Rook Protocol, Yearn Фінанси, Synthetix, Harvest, Redacted Cartel, OlympusDAO, Rome, Trader JOE і WED.
