แฮ็กเกอร์ช่วย Abritrum จากบัก Ethereum-Draining ใน Nitro Upgrade

แฮ็กเกอร์หมวกขาวได้ค้นพบข้อบกพร่องในการอัปเกรดล่าสุดของ Arbitrum, an Ethereum เครือข่ายการปรับขนาดที่อาจนำไปสู่การขโมยมากกว่า 530 ล้านดอลลาร์ 

ผู้สร้างอนุญาโตตุลาการ OffChain Labs เมื่อต้นสัปดาห์นี้ให้รางวัลแก่แฮ็กเกอร์ซึ่งทำงานภายใต้นามแฝง 0xriptideโดยมีค่าหัว 400 ETH (มูลค่าประมาณ $530,000) สำหรับการแบ่งปันการค้นพบ 

อนุญาโตตุลาการได้เปิดตัวการอัปเกรดล่าสุด Nitro เมื่อวันที่ 31 สิงหาคมโดยรอการ การรวม Ethereum การเปลี่ยนแปลงล่าสุดและที่คาดไว้มากของเครือข่าย Ethereum จากกลไกฉันทามติการพิสูจน์การทำงานเป็น หลักฐานการเดิมพัน.

ทันทีหลังจากการเปิดตัว Arbitrum Nitro 0xriptide ได้เริ่มค้นหารหัสเพื่อค้นหาช่องโหว่ใด ๆ ตาม โพสต์บล็อก รายละเอียดการค้นพบ

เครือข่ายการปรับขนาด Ethereum เช่น อนุญาโตตุลาการ นำทางความเร็วช้าของ Ethereum mainnet และค่าธรรมเนียมการทำธุรกรรมที่มีราคาแพงโดย “กลิ้งขึ้น” ธุรกรรม Ethereum จำนวนมากบนสายโซ่ที่แยกจากกัน จากนั้นส่งต่อกลับไปยังเครือข่ายหลัก Ethereum เป็นธุรกรรมเดียว การทำเช่นนี้จะเพิ่มความเร็วและความสามารถในการจ่ายของธุรกรรม Ethereum ได้อย่างมาก แต่ก็อาจทำให้ผู้ใช้มีความเสี่ยง 

0xriptide ค้นพบว่าสะพานเชื่อมระหว่าง Ethereum mainnet และ Arbitrum Nitro มีข้อบกพร่องที่จะช่วยให้แฮ็กเกอร์ที่อุตสาหะสามารถแทนที่ที่อยู่ปลายทางของ Arbitrum ด้วยที่อยู่ของตนเองได้ โดยพื้นฐานแล้ว เงินทุนใดๆ ที่ตั้งใจจะไหลจาก Ethereum ไปยัง Aribitrum อาจถูกเปลี่ยนเส้นทางไปยังกระเป๋าเงินของแฮ็กเกอร์โดยตรง 

ตาม 0xriptide แฮ็กเกอร์สามารถจัดการบั๊กเพื่อเลือกเงินฝากจำนวนมากและหลีกเลี่ยงการตรวจจับ หรือดูดกระแสเงินฝากขาเข้าทั้งหมดของ Arbitrum ในช่วงเวลาระหว่างการเปิดตัวของ Artibrum Nitro ในปลายเดือนสิงหาคมและเมื่อ 0xriptide แจ้ง OffChain Labs เกี่ยวกับจุดบกพร่อง มากกว่า 400,000 ETH หรือ 534 ล้านดอลลาร์ขณะเขียน ได้ย้ายไปยัง Arbitrum จาก Ethereum ตามข้อมูลจาก การวิเคราะห์ Dune แผงควบคุม. 

0xriptide ยังตั้งข้อสังเกตว่าภายในสามสัปดาห์ที่ผ่านมา การฝากเงินครั้งเดียวที่ใหญ่ที่สุดให้กับ Aribtrum มีจำนวน 168,000 ETH หรือ 225 ล้านดอลลาร์เมื่อเขียน อย่างไรก็ตาม ในช่วงเวลานั้น ไม่มีแฮ็กเกอร์ใช้ประโยชน์จากบั๊ก และ Arbitrum ก็ไม่ได้รับผลกระทบจากการโจมตี 

การโจมตีแบบ cross-chain bridge ที่เรียกว่า 0xriptide ที่อาจป้องกันได้นั้นเป็นเรื่องปกติในโลกของ Ethereum Scalers ในเดือนมีนาคม Lazarus Group ซึ่งเป็นกลุ่มแฮ็คที่เกี่ยวข้องกับเกาหลีเหนือ ขโมย ETH มูลค่า 622 ล้านเหรียญ โดยการแทรกซึม Ethereum sidechain สะพานที่ใช้โดยเกม Axie Infinity ที่เล่นเพื่อหารายได้ กลุ่มเดียวกันนั้น ทำเงินได้ 100 ล้านเหรียญในเดือนมิถุนายน โดยการกำหนดเป้าหมายสะพาน Ethereum sidechain อื่นที่ใช้โดย Harmony Protocol 

เมื่อยืนยันข้อบกพร่องใน Arbitrum Nitro แล้ว OffChain Labs ได้ส่งเงิน 0xriptide เป็นเงิน 400 ETH หรือเพียง 530,000 ดอลลาร์ ผ่านแพลตฟอร์ม web3 bug bounty ภูมิคุ้มกัน.

"ขอขอบคุณทีมงาน Arbitrum ที่มอบเงินรางวัล 400 ETH และแน่นอนสำหรับการสร้างนวัตกรรมทางเทคโนโลยีที่น่าทึ่งด้วยการนำ L2 ไปใช้” 0xriptide เขียนเมื่อวันจันทร์ 

แฮ็กเกอร์อาจพัฒนาความคิดที่สองเกี่ยวกับคุณค่าของการค้นพบของพวกเขา เมื่อวันอังคารที่ผ่านมา พวกเขาทวีตว่า เมื่อประหยัดเงินได้หลายร้อยล้านดอลลาร์ Arbitrum อาจมีน้ำใจมากกว่านี้: