Dorong untuk Memotong Biaya Jaringan Ethereum Membuka Bug Pengeluaran Dana di Alat Penskalaan Arbitrum

Dorong untuk Memotong Biaya Jaringan Ethereum Membuka Bug Pengeluaran Dana di Alat Penskalaan Arbitrum

Ancaman ditemukan dalam cara transaksi diajukan dan diproses di jaringan, melalui alat yang dikenal sebagai jembatan, yang memungkinkan pengguna untuk mentransfer token antara blockchain yang berbeda. Serangan di jembatan telah menjadi salah satu ancaman keamanan terbesar di crypto, terhitung hampir $ 1 miliar dicuri pada tahun lalu.

Peretas topi putih, yang dikenal sebagai 0xriptide, mengatakan dalam sebuah posting Selasa bahwa kerentanan akan mempengaruhi setiap deposan yang mencoba menjembatani dana dari Ethereum ke Arbitrum Nitro, versi terbaru Arbitrum.

0xriptide menemukan bahwa semua transaksi masuk melalui jembatan dikirim melalui pesan ke Kotak Masuk Tertunda blockchain Arbitrum, yang menjalankan pemeriksaan untuk melihat apakah kontrak di balik transaksi tersebut sedang dalam proses penyelesaian atau sudah selesai.

0xriptide menemukan bahwa slot yang dimaksudkan untuk penyimpanan information kosong karena fungsi Nitro yang dimaksudkan untuk memverifikasi transaksi secara otomatis mengubah information. Itu akan memungkinkan aktor jahat untuk memanipulasi kontrak pintar jembatan – dapat diakses oleh semua orang karena ini adalah perangkat lunak sumber terbuka – dan menetapkan alamat mereka sendiri sebagai alamat penerima.

Satu baris kode akan mencegah siapa pun membuat perubahan pada kontrak kritis. Namun, itu dihapus untuk memungkinkan transaksi yang lebih murah dan kerentanan yang dibuatnya tidak diperhatikan, kata 0xriptide.

“Setoran terbesar yang tercatat pada kontrak kotak masuk adalah 168.000 ETH (~$250mm) dengan whole setoran tipikal dalam periode 24 jam mulai dari ~1000 hingga ~5000 ETH.” Ini berarti kerentanan berpotensi menyebabkan ratusan juta dolar dana curian.

Author: Gregory Adams