A
A

Pour 400 Ethereum (ETH), Arbitrum évite de justesse un piratage ! 

mer 21 Sep 2022 ▪ 21h00 ▪ 4 min de lecture - par Eddy Senga

L’un des points forts des blockchains reste incontestablement la sécurité. Lorsque celle-ci est compromise, plus rien ne va. Alors quand un chasseur de primes annonce une éventuelle faille du système, Arbitrum n’hésite pas à voir de quoi il s’agit et à récompenser comme il se doit celui qui l’a découverte.

arbitrum prime de bogue ethereum

Menace anéantie entre Ethereum (ETH) et Arbitrum Nitro

Alors que le secteur crypto se développe, il est important de mettre un accent sur la sécurité du réseau pour protéger les investisseurs. En fin du mois d’août, le layer 2 le plus populaire d’Ethereum a annoncé qu’il faisait peau neuve avec le déploiement d’Arbitrum Nitro. 

Etant donné que le passage au Proof-of-Stake (PoS) n’implique pas la réduction des frais de gaz, les layer 2 se voient dans l’obligation de continuer à prospérer pour aider l’ETH à décharger une partie de son réseau. Jusque là, Nitro, la solution d’Arbitrum fonctionne plutôt bien mais certaines failles techniques se font très vite ressentir. 

D’après des détails apparus mardi matin, Arbitrum aurait payé une prime de bogue 400 ETH ( 520 000 dollars) au chasseur de primes de Solidity connu sous le pseudonyme de Oxriptide. Ce dernier a découvert une vulnérabilité qui aurait pu compromettre plus de 250 millions de dollars. Selon Oxriptide, cette faille aurait pu affecter tout utilisateur qui aurait essayé de transférer des fonds d’Ethereum vers Arbitrum Nitro.

Un exploit avantageux pour le layer 2

Oxriptide a commencé sa recherche initiale quelques semaines avant la mise à niveau d’Arbitrum Nitro. Son quotidien consiste à parcourir ImmuneFi, une plateforme de primes de bogues ayant empêché des piratages de plus de 20 milliards de dollars. Mais son objectif principal a légèrement changé ces derniers temps. Comme il l’a déclaré dans un rapport, il s’attèle depuis peu à la prévention des exploits inter-chaînes. 

D’après lui, ils posent un montant beaucoup plus important de fonds à risque à cause de la structure pot de miel de la plupart des protocoles. Ainsi, lors de son enquête, il a détecté une faille dans laquelle le contrat relais pouvait accepter les dépôts même si le contrat avait été réinitialisé auparavant. Il affirme que lorsque vous tombez sur une variable d’adresse non initialisée dans Solidity, vous devez y réfléchir à plusieurs fois car vous ne savez jamais la véritable raison pour laquelle elle est ainsi. 

Donc après une recherche plus approfondie dans l’adresse non initialisée, il a découvert qu’en imitant le contrat réel, un pirate pouvait définir sa propre adresse comme pont et dérober tous les dépôts ETH entrants d’Ethereum vers Arbitrum Nitro. Le pirate pouvait alors soit lancer une attaque de type guerilla pour siphonner tous les fonds entrants, soit cibler des dépôts ETH plus importants afin de masquer leurs actions.

Arbitrum paie une prime de bogue de 400 ETH pour la détection d’une vulnérabilité du pont. Mais ceci n’est rien comparé à ce que le layer 2 aurait perdu si Oxriptide ne l’avait pas alerté. En effet, il aurait pu perdre entre 1 000 et 5 000 ETH sur une période de 24 heures où le pirate se serait servi de la faille.

Recevez un condensé de l’actualité dans le monde des cryptomonnaies en vous abonnant à notre nouveau service de newsletter quotidienne et hebdomadaire pour ne rien manquer de l’essentiel Cointribune !

A
A
Eddy Senga avatar
Eddy Senga

Le monde évolue et l'adaptation est la meilleure arme pour survivre dans cet univers ondoyant. Community manager crypto à la base, je m'intéresse à tout ce qui touche de près ou de loin à la blockchain et ses dérivés. Dans l'optique de partager mon expérience et de faire connaître un domaine qui me passionne, rien de mieux que de rédiger des articles informatifs et décontractés à la fois.

DISCLAIMER

Les propos et opinions exprimés dans cet article n'engagent que leur auteur, et ne doivent pas être considérés comme des conseils en investissement. Effectuez vos propres recherches avant toute décision d'investissement.

Ne manquez aucune actu et abonnez-vous à Cointribune sur Google Actualités !