推动削减以太坊网络费用在 Arbitrum 中打开资金耗尽漏洞

推动削减 ETH 网络费用会在扩展工具 Arbitrum 中打开资金耗尽漏洞

急于寻找降低以太坊区块链交易成本的方法导致扩展工具 Arbitrum 背后的开发人员错过了最新版本中的一项更改，该更改可能允许攻击者窃取发送到网络的所有资金。

Arbitrum 向标记该漏洞的黑客支付了大约 400 以太币（53,000 美元）。

威胁是通过一种称为桥的工具在网络上提交和处理交易的方式发现的，该工具允许用户在不同的区块链之间转移代币。对桥梁的攻击已成为加密领域最大的安全威胁之一，在过去一年中被盗的金额接近 10 亿美元。

被称为 0xriptide 的白帽黑客在周二的一篇帖子中表示，该漏洞将影响任何试图将资金从以太坊桥接到 Arbitrum Nitro（Arbitrum 的最新版本）的存款人。

0xriptide 发现，所有通过桥接的传入交易都是通过一条消息发送到 Arbitrum 区块链的延迟收件箱，该收件箱会检查这些交易背后的合约是在完成过程中还是已经完成。

0xriptide 发现用于数据存储的插槽是空的，因为用于验证交易的 Nitro 函数自动更改了数据。这将允许不良行为者操纵桥梁的智能合约——每个人都可以访问，因为它是开源软件——并将他们自己的地址设置为接收者地址。

一行代码就可以阻止任何人对关键合约进行更改。然而，0xriptide 表示，它已被删除以允许更便宜的交易，并且它造成的漏洞没有被注意到。

“收件箱合约记录的最大存款为 168,000 ETH（约 250 美元），24 小时内的典型存款总额在约 1000 至约 5000 ETH 之间。”这意味着该漏洞可能导致数亿美元的资金被盗。