Ethereum blok zincirindeki işlem maliyetlerini düşürmenin bir yolunu bulma telaşı, ölçeklendirme aracı Arbitrum’un arkasındaki geliştiricilerin, saldırganların ağa gönderilen tüm fonları çalmasına izin verecek olan en son sürümdeki bir değişikliği kaçırmasına neden oldu.
Arbitrum, güvenlik açığını işaretleyen bilgisayar korsanına yaklaşık 400 eter (53.000 $) ödedi.
Tehdit, kullanıcıların farklı blok zincirleri arasında belirteçleri transfer etmesine olanak tanıyan, köprü olarak bilinen bir araç aracılığıyla işlemlerin ağ üzerinde sunulma ve işlenme biçiminde bulundu. Köprülere yapılan saldırılar, geçtiğimiz yıl çalınan yaklaşık 1 milyar doları hesaba katarak kriptodaki en büyük güvenlik tehditlerinden biri haline geldi.
0xriptide olarak bilinen beyaz şapkalı bilgisayar korsanı, Salı günkü bir gönderide, güvenlik açığının Ethereum’dan Arbitrum’un en son sürümü olan Arbitrum Nitro’ya fon sağlamaya çalışan herhangi bir mevduat sahibini etkileyeceğini söyledi.
0xriptide, köprü aracılığıyla gelen tüm işlemlerin Arbitrum blok zincirinin Gecikmeli Gelen Kutusuna bir mesaj yoluyla gönderildiğini keşfetti; bu kutu, bu işlemlerin arkasındaki sözleşmelerin tamamlanma sürecinde olup olmadığını veya zaten tamamlanmış olup olmadığını kontrol etti.
0xriptide, işlemleri doğrulamak için bir Nitro işlevi verileri otomatik olarak değiştirdiği için veri depolama amaçlı yuvaların boş olduğunu buldu. Bu, kötü bir aktörün köprünün akıllı sözleşmesini manipüle etmesine – açık kaynaklı bir yazılım olduğu için herkes tarafından erişilebilir – ve kendi adresini alıcı adresi olarak belirlemesine izin verirdi.
Tek bir kod satırı, herhangi birinin kritik sözleşmede değişiklik yapmasını engellerdi. Ancak 0xriptide, daha ucuz işlemlere izin vermek için kaldırıldığını ve yarattığı güvenlik açığının fark edilmediğini söyledi.
“Gelen kutusu sözleşmesine kaydedilen en büyük depozito, ~1000 ila ~5000 ETH arasında değişen 24 saatlik tipik toplam mevduatla 168.000 ETH (~250mm) idi.” Bu, güvenlik açığının potansiyel olarak yüz milyonlarca dolarlık çalıntı fona yol açabileceği anlamına geliyor.
