Imagem no escuro sugere hacker confuso
Shutterstock

Um hacker “white hat” – ou “do bem”, que colabora com as empresas – descobriu um bug na atualização mais recente da plataforma Arbitrum, uma rede escalável do Ethereum, que poderia ter levado ao roubo de mais de US$ 530 milhões.

A companhia construtora da Arbitrum, a OffChain Labs, recompensou o hacker, que opera sob o pseudônimo 0xriptide, com uma recompensa de 400 ETH (no valor de aproximadamente US$ 530 mil) por compartilhar a descoberta com a empresa – um valor equivalente a apenas 0,1% do total ameaçado.

Publicidade

A Arbitrum lançou sua última atualização, Nitro, em 31 de agosto, antecipando a Fusão do Ethereum, a aguardada transição da rede de um mecanismo de consenso de proof-of-work (PoW) para proof-of-stake (PoS).

Imediatamente após o lançamento da Nitro, 0xriptide começou a vasculhar o código em busca de vulnerabilidades, de acordo com uma postagem no blog do hacker que detalha a descoberta.

Caçada ao bug da Arbitrum

Redes de escalabilidade do Ethereum, como a Arbitrum, navegam ao redor da velocidade lenta da rede principal das taxas de transação caras, “enrolando” uma grande quantidade de transações em uma cadeia separada e, em seguida, retransmitindo-as de volta à rede principal Ethereum como uma única transação.

Isso aumenta substancialmente a velocidade e a acessibilidade das transações, mas também pode expor os usuários a vulnerabilidades.

0xriptide descobriu que a bridge entre a rede principal Ethereum e a Nitro continha uma falha que permitiria a qualquer hacker substituir o endereço de destino da Arbitrum pelo seu. Essencialmente, quaisquer fundos destinados do Ethereum para a Arbitrum poderiam ser redirecionados diretamente para a carteira de um hacker.

Publicidade

De acordo com o 0xriptide, um invasor poderia ter manipulado o bug para selecionar depósitos individuais maciços e evitar a detecção, ou desviar todo o fluxo de depósitos recebidos da Arbitrum. No período entre a estreia da Nitro, no final de agosto e quando o 0xriptide notificou a OffChain Labs sobre o bug, mais de 400 mil ETH foram transferidos usando essa rota, de acordo com dados de um painel do Dune Analytics.

0xriptide também observou que, nas últimas três semanas, o maior depósito único na Aribtrum foi de 168.000 ETH, ou US$ 225 milhões. Nesse período, porém, nenhum hacker explorou o bug, e a Arbitrum não sofreu ataques.

Ataques ao Ethereum crescem

Os chamados ataques cross-chain em bridges, como o que 0xriptide pode ter evitado, estão se tornando comuns no universo das aplicações do Ethereum. Em março, o Lazarus Group, um grupo de hackers afiliado à Coreia do Norte, roubou US$ 622 milhões ao se infiltrar em uma bridge usada pelo jogo Axie Infinity. Esse mesmo grupo ganhou US $ 100 milhões em junho, visando outra bridge do Ethereum, utilizada pelo Harmony Protocol.

Após a confirmação da falha na Nitro, a OffChain Labs enviou à 0xriptide um pagamento de 400 ETH, ou pouco mais de US$ 530 mil, através da plataforma de recompensas de bugs web3 ImmuneFi.

Publicidade

“Obrigado à equipe Arbitrum extremamente séria por fornecer uma recompensa de 400 ETH e, claro, por criar uma incrível inovação tecnológica com sua implementação L2”, escreveu 0xriptide na segunda-feira.

O hacker pode ter desenvolvido dúvidas sobre o valor de sua descoberta, no entanto. Na terça-feira, ele twittou que, dadas as centenas de milhões de dólares economizados, a Arbitrum poderia ter sido mais generosa:

*Traduzido com autorização do Decrypt.co.

Esse é o melhor momento da história para investir em cripto! E agora, você pode ter acesso a um curso exclusivo com os maiores especialistas em cripto para aprender os fundamentos e as técnicas que te ajudam a navegar nas altas e baixas do mercado. Inscreva-se aqui

VOCÊ PODE GOSTAR
Uma pessoa segura um celular que mostra figuras grandes e vermelhas em formato triangular de alerta de vírus

Popular carteira da Solana pede que usuários façam backup com urgência

Usuários que não fizeram backup das chaves privadas perderam o acesso aos seus fundos após baixar uma atualização
Imagem da matéria: Nubank lança nova função de troca de criptomoedas no app

Nubank lança nova função de troca de criptomoedas no app

A opção permite a oferta de taxas reduzidas em comparação com o processo de compra e venda em moeda fiduciária
Imagem da matéria: Beefund: Exchange remove Beeb 2.0 e assume que projeto “prejudica” usuários

Beefund: Exchange remove Beeb 2.0 e assume que projeto “prejudica” usuários

“Para proteger os direitos dos usuários, decidimos não oferecer mais suporte ao token BEEB e colocá-lo sob observação”, disse a SuperEx
Sam Bankman-Fried da FTX falando em vídeo

Ascensão e queda de Sam Bankman-Fried vai virar filme de Hollywood

Lena Dunham foi contratada pela Apple e A24 para adaptar a obra de Michael Lewis, “Sem Limites — Ascensão e Queda de Sam Bankman-Fried”