Dorong untuk Memotong Biaya Jaringan Ethereum Membuka Bug Penguras Dana di Arbitrum

Dorong untuk Memotong Biaya Jaringan ETH Membuka Bug Penguras Dana di Arbitrum Alat Penskalaan

Terburu-buru untuk menemukan cara menurunkan biaya transaksi pada blockchain Ethereum membuat pengembang di belakang alat penskalaan Arbitrum melewatkan perubahan dalam versi terbaru yang memungkinkan penyerang mencuri semua dana yang dikirim ke jaringan.

Arbitrum membayar sekitar 400 eter ($53.000) kepada peretas yang menandai kerentanan tersebut.

Ancaman ditemukan dalam cara transaksi dikirimkan dan diproses di jaringan, melalui alat yang dikenal sebagai jembatan, yang memungkinkan pengguna untuk mentransfer token di antara blockchain yang berbeda. Serangan pada jembatan telah menjadi salah satu ancaman keamanan terbesar di kripto, terhitung hampir $1 miliar yang dicuri dalam satu tahun terakhir.

Peretas topi putih, yang dikenal sebagai 0xriptide, mengatakan dalam posting Selasa bahwa kerentanan akan memengaruhi setiap deposan yang mencoba menjembatani dana dari Ethereum ke Arbitrum Nitro, versi terbaru Arbitrum.

0xriptide menemukan bahwa semua transaksi yang masuk melalui jembatan dikirim melalui pesan ke Kotak Masuk Tertunda Arbitrum, yang menjalankan pemeriksaan untuk melihat apakah kontrak di balik transaksi tersebut sedang dalam proses penyelesaian atau sudah selesai.

0xriptide menemukan bahwa slot yang dimaksudkan untuk penyimpanan data kosong karena fungsi Nitro yang dimaksudkan untuk memverifikasi transaksi mengubah data secara otomatis. Itu akan memungkinkan aktor jahat untuk memanipulasi kontrak pintar jembatan – dapat diakses oleh semua orang karena ini adalah perangkat lunak sumber terbuka – dan menetapkan alamat mereka sendiri sebagai alamat penerima.

Satu baris kode akan mencegah siapa pun membuat perubahan pada kontrak kritis. Namun, itu dihapus untuk memungkinkan transaksi yang lebih murah dan kerentanan yang dibuatnya tidak diperhatikan, kata 0xriptide.

“Deposit terbesar yang dicatat pada kontrak kotak masuk adalah 168.000 ETH (~$250mm) dengan total deposit tipikal dalam periode 24 jam berkisar antara ~1000 hingga ~5000 ETH.” Ini berarti kerentanan berpotensi menyebabkan dana curian ratusan juta dolar.