Peretas topi putih telah menemukan bug dalam peningkatan terbaru untuk Arbitrum, dan Ethereum penskalaan jaringan, yang bisa menyebabkan pencurian lebih dari $530 juta.
Pembuat arbitrase OffChain Labs awal pekan ini memberi penghargaan kepada peretas, yang beroperasi dengan nama samaran 0xriptida, dengan hadiah 400 ETH (senilai sekitar $530,000) untuk berbagi penemuan.
Arbitrum meluncurkan peningkatan terbarunya, Nitro, pada 31 Agustus, untuk mengantisipasi Penggabungan Ethereum, transisi jaringan Ethereum baru-baru ini dan yang sangat dinanti-nantikan dari mekanisme konsensus bukti kerja ke bukti kepemilikan.
Segera setelah peluncuran Arbitrum Nitro, 0xriptide mulai menjelajahi kodenya untuk mencari kerentanan apa pun, menurut sebuah posting blog merinci penemuannya.
Jaringan penskalaan Ethereum seperti arbitrase menavigasi kecepatan lambat mainnet Ethereum dan biaya transaksi yang mahal dengan “berguling” sejumlah besar transaksi Ethereum pada rantai terpisah dan kemudian menyampaikannya kembali ke mainnet Ethereum sebagai satu transaksi. Melakukan hal itu meningkatkan kecepatan dan keterjangkauan transaksi Ethereum secara substansial, tetapi juga dapat membuat pengguna rentan terhadap kerentanan.
0xriptide menemukan bahwa jembatan antara mainnet Ethereum dan Arbitrum Nitro mengandung kelemahan yang memungkinkan peretas yang rajin mengganti alamat tujuan Arbitrum dengan alamat mereka sendiri. Pada dasarnya, dana apa pun yang dimaksudkan untuk mengalir dari Ethereum ke Aribitrum dapat dialihkan langsung ke dompet peretas.
Per 0xriptide, seorang peretas dapat memanipulasi bug untuk secara selektif mengambil simpanan individu besar-besaran dan menghindari deteksi, atau menyedot seluruh aliran setoran masuk Arbitrum. Pada periode antara debut Artibrum Nitro pada akhir Agustus dan ketika 0xriptide memberi tahu OffChain Labs tentang bug tersebut, lebih dari 400,000 ETH, atau $ 534 juta saat penulisan, pindah ke Arbitrum dari Ethereum, menurut data dari a Analisis Dune dasbor.
0xriptide juga mencatat bahwa dalam tiga minggu terakhir, setoran tunggal terbesar ke Aribtrum berjumlah 168,000 ETH, atau $225 juta saat ditulis. Namun, pada periode itu, tidak ada peretas yang mengeksploitasi bug tersebut, dan Arbitrum tidak mengalami serangan.
Apa yang disebut serangan jembatan lintas rantai seperti yang mungkin telah dicegah 0xriptide terlalu umum di dunia scaler Ethereum. Pada bulan Maret, Lazarus Group, kelompok peretas yang berafiliasi dengan Korea Utara, mencuri ETH senilai $622 juta dengan menyusup ke Ethereum rantai samping jembatan yang digunakan oleh game play-to-earn Axie Infinity. Grup yang sama itu menghasilkan $100 juta pada bulan Juni dengan menargetkan jembatan sidechain Ethereum lain yang digunakan oleh Harmony Protocol.
Setelah konfirmasi cacat di Arbitrum Nitro, OffChain Labs mengirim 0xriptide pembayaran 400 ETH, atau lebih dari $530,000, melalui platform bug bounty web3 Kekebalan Tubuh.
"Terima kasih kepada tim Arbitrum yang sangat berbasis untuk memberikan hadiah 400 ETH, dan tentu saja untuk menciptakan inovasi teknologi yang luar biasa dengan implementasi L2 mereka, ” 0xriptide menulis pada hari Senin.
Peretas mungkin telah mengembangkan pemikiran kedua tentang nilai penemuan mereka. Pada hari Selasa, mereka men-tweet bahwa, mengingat ratusan juta dolar yang dihemat, Arbitrum bisa lebih murah hati:
Tetap di atas berita crypto, dapatkan pembaruan harian di kotak masuk Anda.
Sumber: https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro