Mae haciwr het gwyn wedi darganfod nam o fewn yr uwchraddiad diweddaraf ar gyfer Arbitrum, an Ethereum rhwydwaith graddio, a allai fod wedi arwain at ladrad o dros $530 miliwn.
Gwobrwyodd adeiladwr Arbitrum OffChain Labs yn gynharach yr wythnos hon yr haciwr, sy'n gweithredu o dan y ffugenw 0xriptide, gyda bounty o 400 ETH (gwerth tua $530,000) am rannu'r darganfyddiad.
Lansiodd Arbitrum ei uwchraddiad diweddaraf, Nitro, ar Awst 31, gan ragweld y Ethereum uno, trawsnewidiad diweddar a hir-ddisgwyliedig rhwydwaith Ethereum o fecanwaith consensws prawf-o-waith i prawf o stanc.
Yn syth ar ôl lansio Arbitrum Nitro, dechreuodd 0xriptide sgwrio ei god i chwilio am unrhyw wendidau, yn ôl a post blog yn manylu ar y darganfyddiad.
Rhwydweithiau graddio Ethereum fel Arbitrwm llywio cyflymder araf mainnet Ethereum a ffioedd trafodion costus trwy “rholio i fyny” nifer fawr o drafodion Ethereum ar gadwyn ar wahân ac yna eu trosglwyddo yn ôl i mainnet Ethereum fel un trafodiad. Mae gwneud hynny yn cynyddu cyflymder a fforddiadwyedd trafodion Ethereum yn sylweddol, ond gall hefyd wneud defnyddwyr yn agored i wendidau.
Darganfu 0xriptide fod y bont rhwng mainnet Ethereum ac Arbitrum Nitro yn cynnwys diffyg a fyddai'n caniatáu i unrhyw haciwr diwyd ddisodli cyfeiriad cyrchfan Arbitrum gyda'u rhai eu hunain. Yn y bôn, gallai unrhyw arian sydd i fod i lifo o Ethereum i Aribitrum gael ei ailgyfeirio yn syth i waled haciwr.
Fesul 0xriptide, gallai haciwr fod wedi trin y byg naill ai i godi dyddodion unigol enfawr yn ddetholus ac osgoi canfod, neu seiffon oddi ar lif adneuo cyfan Arbitrum sy'n dod i mewn. Yn y cyfnod rhwng ymddangosiad cyntaf Artibrum Nitro ddiwedd mis Awst a phan hysbysodd 0xriptide OffChain Labs am y nam, symudodd dros 400,000 ETH, neu $534 miliwn adeg ysgrifennu, i Arbitrum o Ethereum, yn ôl data o a Dadansoddeg Twyni dangosfwrdd.
Nododd 0xriptide hefyd, o fewn y tair wythnos diwethaf, mai'r blaendal sengl mwyaf i Aribtrum oedd 168,000 ETH, neu $225 miliwn wrth ysgrifennu. Yn y cyfnod hwnnw, fodd bynnag, ni wnaeth unrhyw haciwr fanteisio ar y byg, ac ni ddioddefodd Arbitrum unrhyw ymosodiadau.
Mae ymosodiadau pontydd traws-gadwyn, fel yr un y gallai 0xriptide fod wedi'u hatal, yn rhy gyffredin ym myd graddwyr Ethereum. Ym mis Mawrth, fe wnaeth Lazarus Group, grŵp hacio sy'n gysylltiedig â Gogledd Corea, dwyn gwerth $622 miliwn o ETH trwy ymdreiddio i Ethereum sidechain pont a ddefnyddir gan gêm chwarae-i-ennill Axie Infinity. Yr un grŵp hwnnw gwneud i ffwrdd â $100 miliwn ym mis Mehefin trwy dargedu pont sidechain Ethereum arall a ddefnyddir gan Harmony Protocol.
Ar ôl cadarnhau'r diffyg yn Arbitrum Nitro, anfonodd OffChain Labs daliad o 0 ETH, neu ychydig dros $400, i 530,000xriptide trwy blatfform bounty byg web3 ImiwnFi.
"Diolch i'r tîm Arbitrum sydd wedi'i seilio'n fawr iawn am ddarparu bounty 400 ETH, ac wrth gwrs am greu darn anhygoel o arloesedd technolegol gyda'u gweithrediad L2,” Ysgrifennodd 0xriptide ddydd Llun.
Efallai bod yr haciwr wedi datblygu ail feddyliau am werth eu darganfyddiad, fodd bynnag. Ddydd Mawrth, fe wnaethon nhw drydar, o ystyried y cannoedd o filiynau o ddoleri a arbedwyd, y gallai Arbitrum fod wedi bod yn fwy hael:
Arhoswch ar ben newyddion crypto, mynnwch ddiweddariadau dyddiol yn eich mewnflwch.
Ffynhonnell: https://decrypt.co/110238/hacker-abritrum-ethereum-draining-bug-nitro