A companhia construtora da Arbitrum, a OffChain Labs, recompensou o hacker, que opera sob o pseudônimo 0xriptide, com uma recompensa de 400 ETH (no valor de aproximadamente US$ 530 mil) por compartilhar a descoberta com a empresa – um valor equivalente a apenas 0,1% do total ameaçado.
A Arbitrum lançou sua última atualização, Nitro, em 31 de agosto, antecipando a Fusão do Ethereum, a aguardada transição da rede de um mecanismo de consenso de proof-of-work (PoW) para proof-of-stake (PoS) .
Imediatamente após o lançamento da Nitro, 0xriptide começou a vasculhar o código em busca de vulnerabilidades, de acordo com uma postagem no blog do hacker que detalha a descoberta.
Caçada ao bug da Arbitrum
Redes de escalabilidade do Ethereum, como a Arbitrum, navegam ao redor da velocidade lenta da rede principal das taxas de transação caras, “enrolando” uma grande quantidade de transações em uma cadeia separada e, em seguida, retransmitindo-as de volta à rede principal Ethereum como uma única transação.
Isso aumenta substancialmente a velocidade e a acessibilidade das transações, mas também pode expor os usuários a vulnerabilidades.
0xriptide descobriu que a bridge entre a rede principal Ethereum e a Nitro continha uma falha que permitiria a qualquer hacker substituir o endereço de destino da Arbitrum pelo seu. Essencialmente, quaisquer fundos destinados do Ethereum para a Arbitrum poderiam ser redirecionados diretamente para a carteira de um hacker.
De acordo com o 0xriptide, um invasor poderia ter manipulado o bug para selecionar depósitos individuais maciços e evitar a detecção, ou desviar todo o fluxo de depósitos recebidos da Arbitrum. No período entre a estreia da Nitro, no final de agosto e quando o 0xriptide notificou a OffChain Labs sobre o bug, mais de 400 mil ETH foram transferidos usando essa rota, de acordo com dados de um painel do Dune Analytics.
0xriptide também observou que, nas últimas três semanas, o maior depósito único na Aribtrum foi de 168.000 ETH, ou US$ 225 milhões. Nesse período, porém, nenhum hacker explorou o bug, e a Arbitrum não sofreu ataques.
Ataques ao Ethereum crescem
Os chamados ataques cross-chain em bridges, como o que 0xriptide pode ter evitado, estão se tornando comuns no universo das aplicações do Ethereum. Em março, o Lazarus Group, um grupo de hackers afiliado à Coreia do Norte, roubou US$ 622 milhões ao se infiltrar em uma bridge usada pelo jogo Axie Infinity. Esse mesmo grupo ganhou US $ 100 milhões em junho, visando outra bridge do Ethereum, utilizada pelo Harmony Protocol.
Após a confirmação da falha na Nitro, a OffChain Labs enviou à 0xriptide um pagamento de 400 ETH, ou pouco mais de US$ 530 mil, através da plataforma de recompensas de bugs web3 ImmuneFi.
“Obrigado à equipe Arbitrum extremamente séria por fornecer uma recompensa de 400 ETH e, claro, por criar uma incrível inovação tecnológica com sua implementação L2”, escreveu 0xriptide na segunda-feira.
O hacker pode ter desenvolvido dúvidas sobre o valor de sua descoberta, no entanto. Na terça-feira, ele twittou que, dadas as centenas de milhões de dólares economizados, a Arbitrum poderia ter sido mais generosa:
No big deal just bridging a cool $470mm through the same Inbox contract
License.
