Publicado por
Una vez más, los puentes asociados con Arbitrum se convirtieron en una «preocupación» para la comunidad cuando recientemente se compartió un informe técnico que reveló algunas vulnerabilidades ocultas en este elemento.
cryptoshitcompra.com/wp-content/uploads/2022/12/¿Es-Arbitrum-Bridge-definitivamente-vulnerable-–-Cryptoshitcompra.png» alt=»¿Es Arbitrum Bridge realmente vulnerable?» width=»1200″ height=»960″/>¿El puente Arbitrum definitivamente tiene errores?
La cuenta de Twitter tincho publicó hace poco tiempo una publicación en un blog, mostrando sus puntos de vista privados sobre la vulnerabilidad en el puente entre Arbitrum y Ethereum.
Si consideras el @arbitrum el puente está protegido, las trampas de mensajes harán que lo consideres dos veces.
Sin embargo, no quiero preocuparme. ¡Está todo planeado!https://t.co/MzbVIlpQv7
— tincho (@tinchoabbate) 8 de diciembre de 2022
Antes de una evaluación en profundidad de las posibles vulnerabilidades, la publicación enumeró las etapas vitales de un puente, exclusivamente:
- Transferencia de datos de L2 a L1
- Esperando un “Relevo Animado” para obtener el mensaje de información y enviarlo a L1.
- En la capa uno (es decir, la red principal de Ethereum), la información adicional se cargará en el contrato inteligente para su ejecución, lo que ayudará a los usuarios finales a retirar ingresos del otro extremo del puente.
En consecuencia, las tres vulnerabilidades destacadas por el informe se encuentran en la fase final, es decir, transmisión de información y autenticación al destinatario. Al mismo tiempo, el escritor no pasó por alto evaluar cómo el puente Optimism maneja los desafíos y demuestra en parte el estado de ánimo de «apoyo» de la respuesta de este oponente.
png» alt=»» width=»1200″ height=»630″/>
Primer defecto: El escritor cree que la etapa de registro del valor «verdadero-falso» de la función Ejecutar llamada deja una oportunidad para el atacante. Como resultado, el repetidor puede pasar constantemente información «falsa (falsa)» a la función, a partir de la cual puede generar un bucle hasta que se cumpla su objetivo real. El escritor también señala que la transmisión de información desde L2->L1 puede ser realmente «reprobable», lo que sugiere repetición de prueba y error.
Segundo defecto: El artículo afirma que la transferencia de datos realizada desde L2 -> L1 no está restringida por un nivel de combustible específico. Como resultado final, no hay un límite de combustible que pueda engañar a un atacante para que priorice regularmente su transacción telefónica de información y, al mismo tiempo, absorba deliberada y rápidamente los ingresos de Relayer si algo sale mal.
Tercer defecto: El escritor cree que copiar return_Data generará estrés en el almacenamiento de información en la memoria. Copiar el valor en esta variable return_Data puede generar una laguna que le permite a un atacante mantener repetidamente el valor por encima y por encima una vez más, lo que provoca que los gastos de combustible se disparen sin control.
Comentarios del personal de Arbitrum
Poco después, el fundador y CTO de Arbitrum, Harry Kalodner, también tuiteó en respuesta a estas preocupaciones.
En cuanto a las preocupaciones de que el reenviador obtenga un patrón incorrecto y envíe correo no deseado al valor en la función Hacer llamada. CTO Arbitrum mencionó:
Cualquiera que haya cambiado de Arbitrum a Ethereum entiende que anticipamos que los usuarios finales canjearán sus retiros de Ethereum después de una semana.
Pasada una semana, el propio consumidor “reclama” su desistimiento. No hay repetidores de tercera reunión, tanto en estilo como en la práctica.
— Harry Kalodner (💙,💙) (@hkalodner) 11 de diciembre de 2022
“Todos los que trabajan con el puente Arbitrum -> Ethereum entienden que anticipamos que hombres y mujeres se retirarán de Ethereum dentro de una semana. Después de una semana, los usuarios finales pueden solicitar este volumen de retiro por sí mismos. Ningún tercero interfiere con el estilo o la ejecución.
Hablando sobre la causa de las tarifas ilimitadas de combustible a través de la transferencia de datos en Layertwo, este CTO explica que este es un paso hacia los usuarios finales finales:
Si un límite de combustible debe establecerse en L2 una semana antes de que se ejecute una transacción (estilo preferido del autor), existe la posibilidad de que la transacción ya no sea legítima, dejando el dinero del usuario atrapado de forma permanente. Este peligroso hábito está totalmente prevenido en nuestro estilo.
— Harry Kalodner (💙,💙) (@hkalodner) 11 de diciembre de 2022
“Si el nivel de combustible se limita a L2 una semana antes de que se produzca la transacción, existe la posibilidad de que la transacción excesiva se vuelva inválida, dejando el dinero de los usuarios bloqueado de forma permanente. Nuestro estilo evitará por completo el fenómeno over.
Al resumir su respuesta total, Harry Kalodner dijo que el autor del artículo había especulado sobre un ataque a «Relayer», un objeto que ni siquiera existirá en este procedimiento de elementos. Al mismo tiempo, CTO Arbitrum dijo que si sigue la sugerencia del autor, será como defender el Relayer (una unidad inexistente), pero pondrá al usuario final en problemas innecesarios.
Historias paralelas
Después del «ajetreo» de esta noche, una cuenta que comúnmente comparte hechos sobre la ingeniería de cadenas de bloques, Polynya, también tiene sugerencias para los usuarios finales cuando conectan L2-L1.
Dado que Arbitrum One se encuentra en la tercera área en algunas métricas vitales de ejercicio financiero, ahora solo por detrás de Ethereum y BSC, aconsejo trabajar con él: puede ser el enlace de sitio web más débil (actualización rápida con un opaco cuatro de seis multi-sig) lo tiende a hacerlo excepcionalmente más peligrosohttps://t.co/pBrQJune1F
— polinia (@apolynia) 11 de diciembre de 2022
“Dado que Arbitrum One ocupa el tercer lugar en términos de activos bloqueados (detrás de Ethereum y BSC), considero que debe tener cuidado al trabajar con él. El enlace de sitio web más débil que representa un peligro masivo es que las actualizaciones de modificación urgentes solo requerirán cuatro/seis firmas multi-sig para obtener la autorización.
Anteriormente, un investigador técnico, bartek.eth, también publicaba constantemente material de contenido que giraba en torno al trasfondo de la transmisión de información entre L1 y L2. Si está interesado, puede leer el hilo de este autor una vez más para obtener un nuevo punto de vista sobre la conexión entre las redes de blockchain.
El mecanismo total de intercambio de mensajes L2 –> L1 se puede resumir en este diagrama /14 pic.twitter.com/RkPDcwRknC
— bartek.eth (@bkiepuszewski) 9 de diciembre de 2022
Volviendo a la historia del puente Arbitrum, en septiembre, Arbitrum Nitro (un modelo actualizado de Arbitrum One) identificó una falla en la conexión Layer-one Ethereum. Afortunadamente, el sistema fue agilizado y el mencionado hacker de sombrero blanco fue acreditado.
Moneda sintética68
Quizás te interese:
Si quiere puede hacernos una donación por el trabajo que hacemos, lo apreciaremos mucho.
Direcciones de Billetera:
- BTC: 14xsuQRtT3Abek4zgDWZxJXs9VRdwxyPUS
- USDT: TQmV9FyrcpeaZMro3M1yeEHnNjv7xKZDNe
- BNB: 0x2fdb9034507b6d505d351a6f59d877040d0edb0f
- DOGE: D5SZesmFQGYVkE5trYYLF8hNPBgXgYcmrx
También puede seguirnos en nuestras Redes sociales para mantenerse al tanto de los últimos post de la web:
- Telegram
Disclaimer: En Cryptoshitcompra.com no nos hacemos responsables de ninguna inversión de ningún visitante, nosotros simplemente damos información sobre Tokens, juegos NFT y criptomonedas, no recomendamos inversiones