Allinstation 
Một lỗi trong bản nâng cấp mới nhất cho Arbitrum, một mạng mở rộng quy mô Ethereum, đã tồn tại được gần ba tuần, nhưng vẫn chưa bị hacker khai thác.
Một hacker mũ trắng đã phát hiện ra một lỗi trong bản nâng cấp mới nhất cho Arbitrum, một mạng lưới mở rộng quy mô Ethereum, có thể dẫn đến việc đánh cắp hơn 530 triệu USD.
Dự án Arbitrum OffChain Labs vào đầu tuần này đã thưởng cho hacker, hoạt động với bí danh 0xriptide, với số tiền thưởng là 400 ETH (trị giá khoảng $530,000) cho việc chia sẻ khám phá.
Arbitrum đã tung ra bản nâng cấp Nitro mới nhất của mình. Vào ngày 31/8, với dự đoán về sự kiện the Merge của Ethereum, sự chuyển đổi gần đây và được mong đợi nhiều của mạng Ethereum từ cơ chế đồng thuận PoW sang PoS .
Ngay sau khi ra mắt Arbitrum Nitro, 0xriptide đã bắt đầu rà soát các dòng code để tìm kiếm bất kỳ lỗ hổng nào, theo một bài đăng trên blog nêu chi tiết về phát hiện này.
Các mạng mở rộng quy mô Ethereum như Arbitrum điều hướng tốc độ chậm của mạng chính Ethereum và phí giao dịch đắt đỏ bằng cách “ tập hợp ” một số lượng lớn các giao dịch Ethereum trên một chuỗi riêng biệt và sau đó chuyển chúng trở lại mạng chính Ethereum như một giao dịch duy nhất. Làm như vậy làm tăng đáng kể tốc độ và phí của các giao dịch Ethereum, nhưng bên cạnh đó sẽ tạo ra rất nhiều lỗ hổng.
0xriptide đã phát hiện ra rằng cầu nối giữa mạng chính Ethereum và Arbitrum Nitro chứa một lỗ hổng có thể cho phép bất kỳ hacker nào thay thế địa chỉ đích của Arbitrum bằng địa chỉ đích của họ. Về cơ bản, bất kỳ khoản tiền nào có nghĩa là chảy từ Ethereum vào Aribitrum thay vào đó có thể được chuyển hướng thẳng vào ví của kẻ tấn công.
Theo 0xriptide, một tin tặc có thể đã thao túng lỗi này để loại bỏ một cách có chọn lọc các khoản tiền gửi riêng lẻ lớn và tránh bị phát hiện hoặc hút sạch toàn bộ dòng tiền gửi đến của Arbitrum. Trong khoảng thời gian từ khi Artibrum Nitro ra mắt vào cuối tháng 8 và khi 0xriptide thông báo cho OffChain Labs về lỗi này, hơn 400,000 ETH, tương đương 534 triệu USD khi viết bài, đã được chuyển vào Arbitrum từ Ethereum, theo dữ liệu từ bảng điều khiển Dune Analytics .
0xriptide cũng lưu ý rằng trong vòng ba tuần qua, khoản tiền gửi đơn lẻ lớn nhất vào Aribtrum lên tới 168,000 ETH, tương đương 225 triệu USD tại thời điểm viết bài. Tuy nhiên, trong khoảng thời gian đó, không có hacker nào khai thác được lỗi này và Arbitrum cũng không bị tấn công.
Cái gọi là các cuộc tấn công cầu nối xuyên chuỗi như cuộc tấn công 0xriptide có thể đã được ngăn chặn đã trở nên quá phổ biến trong thế giới của những người mở rộng Ethereum. Vào tháng 3, Lazarus Group, một nhóm hack có liên kết với Triều Tiên, đã đánh cắp ETH trị giá 622 triệu USD bằng cách xâm nhập vào cầu nối Ethereum sidechain được sử dụng bởi trò chơi chơi để kiếm tiền Axie Infinity. Cùng một nhóm đó đã kiếm được 100 triệu USD vào tháng 6 bằng cách nhắm mục tiêu một cầu nối sidechain Ethereum khác được sử dụng bởi Harmony Protocol.
Sau khi xác nhận về lỗ hổng trong Arbitrum Nitro, OffChain Labs đã gửi cho 0xriptide khoản thanh toán 400 ETH, tương đương hơn 530,000 USD, thông qua nền tảng tiền thưởng lỗi web3 ImmuneFi .
“ Cảm ơn nhóm Arbitrum cực kỳ có trụ sở đã cung cấp tiền thưởng 400 ETH và tất nhiên vì đã tạo ra một phần đổi mới công nghệ đáng kinh ngạc với việc triển khai L2 của họ,” 0xriptide đã viết vào thứ Hai.
Tuy nhiên, hacker có thể đã nảy sinh những suy nghĩ thứ hai về giá trị của khám phá của họ. Vào thứ Ba, họ đã tweet rằng, với hàng trăm triệu USD tiết kiệm được, Arbitrum caó thể hào phóng hơn:
No big deal just bridging a cool $470mm through the same Inbox contract ?
Definitely should be eligible for a max bounty
— riptide (@0xriptide) September 20, 2022
Bên cạnh đó Hacker khuyên rằng: “Khi bạn tình cờ thấy một địa chỉ lạ chưa được khởi tạo trong Solidity thì hãy dành một chút thời gian để tạm dừng và điều tra thêm. Bởi vì bạn sẽ không bao giờ biết được nó được tạo ra một cách cố ý hay vô tình.”
Bản nâng cấp Arbitrum Nitro được đánh giá “cơ chế mở rộng tân tiến nhất” của mạng lưới. Từ đó tốc độ giao dịch trên Arbitrum sẽ nhanh hơn và giảm thiểu chi phí giao dịch xuống thấp hơn.
Anh em tham gia các kênh thông tin của chúng mình để thảo luận và bắt kịp những diễn biến mới nhất của thị trường nhé:
? HC Capital Channel | HC Capital Group Chat
? HC Research Channel | HC Research Group Chat
? Margin HC Channel | Margin HC Group Chat
? HC Gem Alerts | HC Gem Alerts Chat
