Un hacker « fait le bien » empêche le vol de 530 millions de dollars US mais ne reçoit que 0,1% de la valeur en récompense

Temps de lecture :10 Minutes, 40 Secondes

Un hacker « white hat » qui collabore avec des entreprises a découvert un bug dans la dernière mise à jour de la plateforme Arbitrum, un réseau Ethereum évolutif, qui aurait pu conduire au vol de plus de 530 millions de dollars.

L’entreprise de construction d’Arbitrum, OffChain Labs, a récompensé le pirate, qui opère sous le pseudonyme 0xriptide, avec une récompense de 400 ETH (d’une valeur d’environ 530 000 $) pour avoir partagé la découverte avec l’entreprise – un montant équivalent à seulement 0,1 % du total menacé.

Arbitrum a publié sa dernière mise à jour, Nitro, le 31 août, en prévision de la fusion Ethereum, la transition tant attendue du réseau d’un mécanisme de consensus de preuve de travail (PoW) à une preuve de participation (PoS).

Immédiatement après la sortie de Nitro, 0xriptide a commencé à parcourir le code à la recherche de vulnérabilités, selon un article de blog du pirate détaillant la découverte.

Chasse aux bogues Arbitrum

Les réseaux d’évolutivité d’Ethereum tels qu’Arbitrum naviguent autour de la lenteur du réseau principal des frais de transaction coûteux, « roulant » une grande quantité de transactions dans une chaîne distincte, puis les relayant vers le réseau principal. Ethereum en une seule transaction.

Cela augmente considérablement la vitesse et l’accessibilité des transactions, mais peut également exposer les utilisateurs à des vulnérabilités.

0xriptide a découvert que le pont entre le réseau principal Ethereum et Nitro contenait une faille qui permettrait à tout pirate informatique de remplacer l’adresse de destination d’Arbitrum par la sienne. Essentiellement, tous les fonds affectés d’Ethereum à Arbitrum pourraient être redirigés directement vers le portefeuille d’un pirate informatique.

Selon 0xriptide, un attaquant aurait pu manipuler le bogue pour sélectionner des dépôts individuels massifs et échapper à la détection, ou détourner l’intégralité du flux de dépôts reçus d’Arbitrum. Dans la période entre les débuts de Nitro fin août et le moment où 0xriptide a informé OffChain Labs du bogue, plus de 400 000 ETH ont été transférés en utilisant cette route, selon les données d’un tableau de bord Dune Analytics.

0xriptide a également noté qu’au cours des trois dernières semaines, le plus gros dépôt unique sur Aribtrum était de 168 000 ETH, soit 225 millions de dollars. Pendant cette période, cependant, aucun pirate n’a exploité le bogue et Arbitrum n’a subi aucune attaque.

Les attaques Ethereum se multiplient

Les soi-disant attaques de pont inter-chaînes, telles que celle que 0xriptide aurait pu empêcher, deviennent monnaie courante dans le monde des applications Ethereum. En mars, le groupe Lazarus, un groupe de piratage affilié à la Corée du Nord, a volé 622 millions de dollars en infiltrant un pont utilisé par le jeu Axie Infinity. Ce même groupe a gagné 100 millions de dollars en juin en ciblant un autre pont Ethereum, utilisé par le protocole Harmony.

Après confirmation de la faille Nitro, OffChain Labs a envoyé à 0xriptide un paiement de 400 ETH, soit un peu plus de 530 000 $, via la plateforme web3 bug bounty ImmuneFi.

« Merci à l’équipe extrêmement sérieuse d’Arbitrum pour avoir fourni une récompense de 400 ETH et bien sûr pour avoir créé une incroyable percée technologique avec leur implémentation L2 », a écrit 0xriptide lundi.

Le pirate peut cependant avoir développé des doutes sur la valeur de sa découverte. Mardi, il a tweeté qu’étant donné les centaines de millions de dollars économisés, Arbitrum aurait pu être plus généreux :

*Traduit avec la permission de Decrypt.co.

C’est le meilleur moment de l’histoire pour investir dans la crypto ! Et maintenant, vous pouvez accéder à un cours exclusif dispensé par les meilleurs experts en cryptographie pour apprendre les principes fondamentaux et les techniques qui vous aideront à naviguer dans les hauts et les bas du marché. Inscrivez-vous ici



Voir l’article original sur portaldobitcoin.uol.com.br