Arbitrum thưởng 400 ETH cho người phát hiện lỗ hổng bảo mật

Ngày 20/9, Arbitrum thưởng 400 ETH cho một người dùng Twitter phát hiện ra lỗi bảo mật quan trọng trong cầu nối giữa Ethereum và Arbitrum Nitro. Lỗ hổng này có thể dẫn đến vụ tấn công thiệt hại hơn 250 triệu USD.

quynhnguyen

Published Sep 21 2022

Updated Sep 23 2022

3 min read

Được biết, một hacker mũ trắng có biệt danh @0xriptide trên Twitter đã liên hệ với đội ngũ của dự án Arbitrum và trình bày báo cáo về lỗi bảo mật mà anh phát hiện được. Theo đó, lỗ hổng này có thể dẫn đến vụ tấn công gây thiệt hại hơn 250 triệu USD.

My bug bounty write-up on a critical vulnerability I discovered on Arbitrum Nitro which allowed an attacker to steal all incoming ETH deposits to the L1->L2 bridge
https://t.co/WuR4RYUL3L @icodeblockchain @samiamka2 @Mudit__Gupta @0xRecruiter @BowTiedCrocodil @BowTiedDevil
— riptide (@0xriptide) September 20, 2022

Lỗi tồn tại trong cầu nối giữa Ethereum và Arbitrum Nitro có thể ảnh hưởng đến bất kỳ người dùng nào trong quá trình chuyển tài sản qua lại giữa hai chain. Nhờ việc tìm ra lỗ hổng quan trọng, giúp đội ngũ Arbitrum kịp thời khắc phục, 0xriptide đã được nhận về khoản tiền thưởng bug bounty trị giá 400 ETH (khoảng 520,000 USD).

Bug bounty (tiền thưởng lỗi) là chương trình trả thưởng cho tin tặc tìm thấy bất kỳ lỗ hổng nào trong mạng lưới của các dự án. Điều này giúp các nhà phát triển dự án kịp thời khắc phuc lỗi, tránh các vụ hack nghiêm trọng xảy ra.

Trước đây, 0xriptide đã từng phát hiện ra lỗi bảo mật của nền tảng ImmuneFi, giúp ngăn chặn các cuộc tấn công trị giá hơn 20 tỷ USD. Các phát hiện ban đầu của anh về lỗ hổng của Arbitrum bắt đầu vài tuần trước khi nâng cấp Arbitrum Nitro. Qua những điều tra sơ bộ, 0xriptide cho biết lỗi này có thể cho phép hacker đánh cắp toàn bộ số ETH được nạp vào cầu nối giữa Arbitrum Nitro (layer 2) và Ethereum (layer 1).

lỗ hổng bảo mật arbitrum — Một người dùng Twitter đã phát hiện ra lỗ hổng bảo mật trong cầu nối giữa Ethereum và Arbitrum Nitro.

Ngoài ra, anh cũng đưa ra lời khuyên cho người dùng rằng:

“Khi bạn tình cờ thấy một địa chỉ lạ chưa được khởi tạo trong Solidity thì hãy dành một chút thời gian để tạm dừng và điều tra thêm. Bởi vì bạn sẽ không bao giờ biết được nó được tạo ra một cách cố ý hay vô tình.”

Vào cuối tháng 8, Arbitrum đã tiến hành nâng cấp quan trọng Nitro. Ngày 31/8, Arbitrum, giải pháp mở rộng layer 2 của Ethereum được nâng cấp nhằm tăng thông lượng giao dịch, cắt giảm chi phí và đơn giản hóa bước chuyển đổi cross-chain giữa Arbitrum và Ethereum.

Theo Offchain Labs, công ty triển khai mạng Arbitrum One, bản nâng cấp sẽ hoàn thiện mạng lưới với chức năng fraud proof (phát hiện gian lận), token bridge (cầu nối token) và cơ chế nén calldata (giảm kích thước dữ liệu).

Bản nâng cấp Arbitrum Nitro được đánh giá là “cơ chế mở rộng tân tiến nhất” của mạng lưới. Từ đó tốc độ giao dịch trên Arbitrum sẽ nhanh hơn và giảm thiểu chi phí giao dịch xuống thấp hơn.

Đọc thêm: Arbitrum ấn định ngày nâng cấp Nitro.