Hacker s bílým kloboukem, který se sám popsal, odhalil „zranitelnost v řádu milionů dolarů“ v mostě spojujícím Ethereum a Arbitrum Nitro a obdržel 400 etherů (ETH) odměnu za jejich nález.
Hacker, známý jako riptide na Twitteru, popsal exploit jako použití inicializační funkce k nastavení jejich vlastní adresy mostu, která by unesla všechny příchozí vklady ETH z těchto snaží překlenout finanční prostředky z Etherea do Arbitráž Ledek.
Riptide vysvětlil exploit ve středním příspěvku v úterý:
"Mohli bychom buď selektivně zacílit velká ložiska ETH, abychom zůstali delší dobu nezjištěni, vysát každý jednotlivý vklad, který projde mostem, nebo počkat a rovnou spustit další masivní ložisko ETH."
Tento hack mohl potenciálně získat desítky nebo dokonce stovky milionů ETH v hodnotě, protože největší nárůst vkladů zaznamenaný v doručené poště byl 168,000 225 ETH v hodnotě více než 1000 milionů $ a typické vklady se pohybovaly od 5000 24 do 1.34 6.7 ETH za XNUMX hodin v hodnotě mezi XNUMX až XNUMX miliony dolarů.
Navzdory potenciálu výdělku z neoprávněně získaných zisků byl riptide vděčný, že „extrémně založený tým Arbitrum“ poskytl odměnu 400 ETH v hodnotě přes 536,500 XNUMX $. Později však na Twitteru dodali, že takový nález „by měl mít nárok na maximální odměnu“, což je hodnota $ 2 milionů.
Žádný velký problém, jen překlenout skvělých 470 mm prostřednictvím stejné smlouvy Inbox
Rozhodně by měl mít nárok na maximální odměnu
– riptide (@0xriptide) Září 20, 2022
Arbitrum ani jeho tvůrčí společnost OffChain Labs tento exploit veřejně nekomentovali; Cointelegraph kontaktoval OffChain Labs s žádostí o komentář, ale okamžitě se neozval.
Související: ETHW potvrzuje zneužití zranitelnosti smlouvy a odmítá tvrzení o opakovaném útoku
Arbitrum je Optimistic Rollup řešení vrstvy 2 pro Ethereum, které sdružuje dávky transakcí před jejich odesláním do sítě Ethereum ve snaze minimalizovat přetížení sítě a ušetřit na poplatcích. Arbitrum Nitro spuštěna 31. srpna, upgrade zaměřený na zjednodušení komunikace mezi Arbitrum a Ethereum a také na zvýšení jeho transakční propustnosti za nižší poplatky.
Mostové hacky podobného stylu byly letos u vykořisťovatelů úspěšné, zejména 100 milionů dolarů ukradených z Horizon Bridge v červnu a nedávný incident Nomad token bridge v srpnu, kdy originál a „kopírovač“ odčerpaly 190 milionů dolarů hackeři opakující exploit.
Zdroj: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty