Imagem no escuro sugere hacker confuso
Shutterstock

Um hacker “white hat” – ou “do bem”, que colabora com as empresas – descobriu um bug na atualização mais recente da plataforma Arbitrum, uma rede escalável do Ethereum, que poderia ter levado ao roubo de mais de US$ 530 milhões.

A companhia construtora da Arbitrum, a OffChain Labs, recompensou o hacker, que opera sob o pseudônimo 0xriptide, com uma recompensa de 400 ETH (no valor de aproximadamente US$ 530 mil) por compartilhar a descoberta com a empresa – um valor equivalente a apenas 0,1% do total ameaçado.

Publicidade

A Arbitrum lançou sua última atualização, Nitro, em 31 de agosto, antecipando a Fusão do Ethereum, a aguardada transição da rede de um mecanismo de consenso de proof-of-work (PoW) para proof-of-stake (PoS).

Imediatamente após o lançamento da Nitro, 0xriptide começou a vasculhar o código em busca de vulnerabilidades, de acordo com uma postagem no blog do hacker que detalha a descoberta.

Caçada ao bug da Arbitrum

Redes de escalabilidade do Ethereum, como a Arbitrum, navegam ao redor da velocidade lenta da rede principal das taxas de transação caras, “enrolando” uma grande quantidade de transações em uma cadeia separada e, em seguida, retransmitindo-as de volta à rede principal Ethereum como uma única transação.

Isso aumenta substancialmente a velocidade e a acessibilidade das transações, mas também pode expor os usuários a vulnerabilidades.

0xriptide descobriu que a bridge entre a rede principal Ethereum e a Nitro continha uma falha que permitiria a qualquer hacker substituir o endereço de destino da Arbitrum pelo seu. Essencialmente, quaisquer fundos destinados do Ethereum para a Arbitrum poderiam ser redirecionados diretamente para a carteira de um hacker.

Publicidade

De acordo com o 0xriptide, um invasor poderia ter manipulado o bug para selecionar depósitos individuais maciços e evitar a detecção, ou desviar todo o fluxo de depósitos recebidos da Arbitrum. No período entre a estreia da Nitro, no final de agosto e quando o 0xriptide notificou a OffChain Labs sobre o bug, mais de 400 mil ETH foram transferidos usando essa rota, de acordo com dados de um painel do Dune Analytics.

0xriptide também observou que, nas últimas três semanas, o maior depósito único na Aribtrum foi de 168.000 ETH, ou US$ 225 milhões. Nesse período, porém, nenhum hacker explorou o bug, e a Arbitrum não sofreu ataques.

Ataques ao Ethereum crescem

Os chamados ataques cross-chain em bridges, como o que 0xriptide pode ter evitado, estão se tornando comuns no universo das aplicações do Ethereum. Em março, o Lazarus Group, um grupo de hackers afiliado à Coreia do Norte, roubou US$ 622 milhões ao se infiltrar em uma bridge usada pelo jogo Axie Infinity. Esse mesmo grupo ganhou US $ 100 milhões em junho, visando outra bridge do Ethereum, utilizada pelo Harmony Protocol.

Após a confirmação da falha na Nitro, a OffChain Labs enviou à 0xriptide um pagamento de 400 ETH, ou pouco mais de US$ 530 mil, através da plataforma de recompensas de bugs web3 ImmuneFi.

Publicidade

“Obrigado à equipe Arbitrum extremamente séria por fornecer uma recompensa de 400 ETH e, claro, por criar uma incrível inovação tecnológica com sua implementação L2”, escreveu 0xriptide na segunda-feira.

O hacker pode ter desenvolvido dúvidas sobre o valor de sua descoberta, no entanto. Na terça-feira, ele twittou que, dadas as centenas de milhões de dólares economizados, a Arbitrum poderia ter sido mais generosa:

*Traduzido com autorização do Decrypt.co.

Esse é o melhor momento da história para investir em cripto! E agora, você pode ter acesso a um curso exclusivo com os maiores especialistas em cripto para aprender os fundamentos e as técnicas que te ajudam a navegar nas altas e baixas do mercado. Inscreva-se aqui

VOCÊ PODE GOSTAR
Logotipo OKX ao fundo tela trading

OKX lança rede Ethereum de segunda camada para desafiar a Base da Coinbase

Uma rede de escalonamento Ethereum de segunda camada construída pela OKX lançou a rede principal, abrindo caminho para novos usuários
Imagem da matéria: Os NFTs ficaram para trás com boom do Bitcoin – mas a Animoca ainda acredita nos tokens

Os NFTs ficaram para trás com boom do Bitcoin – mas a Animoca ainda acredita nos tokens

Na Paris Blockchain Week, o presidente da Animoca Brands, Yat Siu, discutiu a regulamentação da SEC, o ressurgimento do mercado de NFT e as finanças de sua empresa
Imagem da matéria: Ex-conselheiro do Ethereum quer R$ 50 bilhões do governo dos EUA por ser preso injustamente

Ex-conselheiro do Ethereum quer R$ 50 bilhões do governo dos EUA por ser preso injustamente

Steven Nerayoff alega ter sido vítima de provas fabricadas em um suposto caso de extorsão de 10.000 ETH
Mão sugere bater mertelo da justiça- em um fundo escuro o logo Google

Google processa criadores de apps de criptomoedas que enganaram mais de 100 mil usuários

Segundo o Google, os réus contaram várias mentiras para conseguir disponibilizar os aplicativos enganosos no Google Play