Share this article
Попытка сократить комиссии в сети Ethereum открывает ошибку, которая выкачивает средства из инструмента масштабирования ARBITRUM
Уязвимость позволяла злоумышленникам украсть все депозиты эфира в ARBITRUM Nitro.
Updated May 11, 2023, 5:26 p.m. Published Sep 21, 2022, 9:27 a.m.
Спешка в поиске способа снижения транзакционных издержек в блокчейне Ethereum привела к тому, что разработчики инструмента масштабирования ARBITRUM пропустили изменение в последней версии, которое позволило бы злоумышленникам украсть все средства, отправленные в сеть.
ARBITRUM выплатил около 400 эфиров (530 000 долларов США) хакеру, который сообщил об уязвимости.
Продолжение Читайте Ниже
Угроза была обнаружена в способе отправки и обработки транзакций в сети с помощью инструмента, известного как мост, который позволяет пользователям передавать токены между различными блокчейнами. Атаки на мосты стали ONE из самых больших угроз безопасности в Криптo, на долю которых пришлось почти 1 миллиард долларов, украденных за последний год.
Белый хакер, известный как 0xriptide,сказал в посте во вторник что уязвимость затронет любого вкладчика, пытающегося перевести средства из Ethereum в ARBITRUM Nitro, последнюю версию Arbitrum.
My bug bounty write-up on a critical vulnerability I discovered on Arbitrum Nitro which allowed an attacker to steal all incoming ETH deposits to the L1->L2 bridge
— riptide (@0xriptide) September 20, 2022
https://t.co/WuR4RYUL3L@icodeblockchain @samiamka2 @Mudit__Gupta @0xRecruiter @BowTiedCrocodil @BowTiedDevil
0xriptide обнаружил, что все входящие транзакции через мост отправлялись посредством сообщения в папку «Отложенные входящие» блокчейна ARBITRUM , которая выполняла проверку, чтобы определить, находятся ли контракты, лежащие в основе этих транзакций, в процессе завершения или уже завершены.
0xriptide обнаружил, что слоты, предназначенные для хранения данных, были пустыми, поскольку функция Nitro, предназначенная для проверки транзакций, автоматически изменила данные. Это позволило бы злоумышленнику манипулировать смарт-контрактом моста — доступным для всех, поскольку это программное обеспечение с открытым исходным кодом — и установить свой собственный адрес в качестве адреса получателя.
Одна строка кода не позволила бы никому вносить изменения в критический контракт. Однако ее удалили, чтобы обеспечить более дешевые транзакции, и уязвимость, которую она создала, T была замечена, сказал 0xriptide.
«Самый большой депозит, зафиксированный по контракту Inbox, составил 168 000 ETH (~250 млн долларов США), при этом типичная общая сумма депозитов за 24-часовой период составляет от ~1000 до ~5000 ETH». Это означает, что уязвимость потенциально могла привести к краже сотен миллионов долларов.
ИСПРАВЛЕНИЕ (22 сентября, 15:44 UTC):Исправляет долларовую стоимость эфира во втором абзаце. Оригинал был на 10 меньше.
More For You
What to know:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
More For You
Solana’s Drift запускает версию v3 с торговлей в 10 раз быстрее
По словам команды, с версией v3 около 85% рыночных ордеров будут исполняться менее чем за полсекунды, а ликвидность станет достаточно глубокой, чтобы снизить проскальзывание при крупных сделках до примерно 0,02%.
What to know:
- Drift, одна из крупнейших платформ для торговли вечными контрактами на Solana, запустила Drift v3 — значительное обновление, призванное сделать торговлю в блокчейне такой же быстрой и плавной, как и использование централизованной биржи.
- Новая версия обеспечит выполнение сделок в 10 раз быстрее благодаря полностью переработанному бэкенду, что станет самым значительным улучшением производительности проекта на сегодняшний день.
Главное
