Compartir este artículo
El intento de reducir las tarifas de la red Ethereum abre un error que drena fondos en la herramienta de escalado ARBITRUM
La vulnerabilidad habría permitido a los atacantes robar todos los depósitos de ether en ARBITRUM Nitro.
Por Shaurya Malwa
La prisa por encontrar una forma de reducir los costos de transacción en la cadena de bloques Ethereum llevó a los desarrolladores detrás de la herramienta de escalamiento ARBITRUM a pasar por alto un cambio en la última versión que habría permitido a los atacantes robar todos los fondos enviados a la red.
ARBITRUM pagó alrededor de 400 ether (530.000 dólares) al pirata informático que señaló la vulnerabilidad.
CONTINÚA MÁS ABAJO
La amenaza se detectó en la forma en que se envían y procesan las transacciones en la red, a través de una herramienta conocida como puente, que permite a los usuarios transferir tokens entre diferentes cadenas de bloques. Los ataques a puentes se han convertido en una de las mayores amenazas de seguridad en el Cripto, representando el robo de casi mil millones de dólares el año pasado.
El hacker de sombrero blanco, conocido como 0xriptide,dijo en una publicación del martes que la vulnerabilidad afectaría a cualquier depositante que intente transferir fondos de Ethereum a ARBITRUM Nitro, la última versión de Arbitrum.
My bug bounty write-up on a critical vulnerability I discovered on Arbitrum Nitro which allowed an attacker to steal all incoming ETH deposits to the L1->L2 bridge
— riptide (@0xriptide) September 20, 2022
https://t.co/WuR4RYUL3L@icodeblockchain @samiamka2 @Mudit__Gupta @0xRecruiter @BowTiedCrocodil @BowTiedDevil
0xriptide descubrió que todas las transacciones entrantes a través del puente se enviaban a través de un mensaje a la Bandeja de entrada retrasada de la cadena de bloques ARBITRUM , que ejecutaba una verificación para ver si los contratos detrás de esas transacciones estaban en proceso de finalización o ya se habían completado.
0xriptide descubrió que las ranuras destinadas al almacenamiento de datos estaban vacías porque una función de Nitro, encargada de verificar las transacciones, modificaba automáticamente los datos. Esto habría permitido que un atacante manipulara el contrato inteligente del puente (accesible para todos por ser software de código abierto) y estableciera su propia dirección como dirección de recepción.
Una sola línea de código habría impedido que alguien modificara el contrato crítico. Sin embargo, se eliminó para permitir transacciones más económicas y la vulnerabilidad que creó pasó T , afirmó 0xriptide.
El mayor depósito registrado en el contrato de la bandeja de entrada fue de 168.000 ETH (unos 250 millones de dólares), con depósitos totales típicos en un período de 24 horas que oscilan entre 1.000 y 5.000 ETH. Esto significa que la vulnerabilidad podría haber provocado el robo de cientos de millones de dólares.
CORRECCIÓN (22 de septiembre, 15:44 UTC):Corrige el valor en dólares de Ether en el segundo párrafo. El original era 10 veces menor.
Más para ti
Lo que debes saber:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Más para ti
ZKsync Lite to Shut Down in 2026 as Matter Labs Moves On
The company framed the move, happening in early 2026, as a planned sunset.
Lo que debes saber:
- Matter Labs plans to deprecate ZKsync Lite, the first iteration of its Ethereum layer-2 network, the team said in a post on X over the weekend.
- The company framed the move, happening in early 2026, as a planned sunset for an early proof-of-concept that helped validate their zero-knowledge rollup design choices before newer systems went live.
Historias Destacadas
