黑客在 Nitro 升级中从以太坊耗尽漏洞中拯救了 Abritrum

一位白帽黑客在 Arbitrum 的最新升级中发现了一个错误， 以太币 扩展网络，这可能导致超过 530 亿美元的盗窃。 

本周早些时候，Arbitrum 建设者 OffChain Labs 奖励了这位化名操作的黑客 0x激肽，有 400 ETH（价值约 530,000 美元）的赏金用于分享这一发现。 

Arbitrum 于 31 月 XNUMX 日推出了最新的升级版 Nitro， 以太坊合并， 以太坊网络最近和备受期待的从工作量证明共识机制到 股权证明.

据一家公司称，在 Arbitrum Nitro 推出后，0xriptide 立即开始搜索其代码以寻找任何漏洞。 博客文章 详细说明这一发现。

以太坊扩展网络，如 仲裁 通过“浏览以太坊主网的缓慢速度和昂贵的交易费用”集结” 在一条单独的链上进行大量以太坊交易，然后将它们作为单个交易转发回以太坊主网。 这样做大大提高了以太坊交易的速度和可负担性，但也可能使用户面临漏洞。 

0xriptide 发现以太坊主网和 Arbitrum Nitro 之间的桥梁存在一个缺陷，任何勤奋的黑客都可以用自己的地址替换 Arbitrum 的目标地址。 从本质上讲，任何打算从以太坊流入 Aribitrum 的资金都可以直接转入黑客的钱包。 

根据 0xriptide，黑客可能会操纵该漏洞来选择性地提取大量个人存款并避免被发现，或者吸走 Arbitrum 的整个传入存款流。 根据来自一家 沙丘分析 仪表板。 

0xriptide 还指出，在过去三周内，Aribtrum 的最大单笔存款达到 168,000 ETH，即 225 亿美元。 然而，在那段时间里，没有黑客利用这个漏洞，Arbitrum 也没有受到攻击。 

像 0xriptide 这样的所谓跨链桥攻击可能已经阻止，在以太坊缩放器的世界中太常见了。 XNUMX 月，隶属于朝鲜的黑客组织 Lazarus Group， 偷走了价值 622 万美元的 ETH 通过渗透以太坊 侧链 Play-to-earn 游戏 Axie Infinity 使用的桥。 同一组 100月被带走XNUMX亿美元 通过针对 Harmony 协议使用的另一个以太坊侧链桥。 

在确认 Arbitrum Nitro 的缺陷后，OffChain Labs 通过 web0 漏洞赏金平台向 400xriptide 发送了 530,000 ETH 或略高于 3 美元的付款 免疫.

“感谢基础雄厚的 Arbitrum 团队提供 400 ETH 赏金，当然还感谢他们通过 L2 实施创造了一项令人难以置信的技术创新，” 0xriptide 周一写道。 

然而，黑客可能已经对他们的发现的价值产生了第二个想法。 周二，他们在推特上表示，鉴于节省了数亿美元，Arbitrum 本来可以更加慷慨：