Un hacker auto-descris cu pălărie albă a descoperit o „vulnerabilitate de mai multe milioane de dolari” în puntea care leagă Ethereum și Arbitrum Nitro și a primit un 400 Ether (ETH) recompensă pentru găsirea lor.
Cunoscut sub numele de riptide pe Twitter, hackerul a descris exploit-ul ca fiind utilizarea unei funcții de inițializare pentru a-și seta propria adresă de punte, care ar deturna toate depozitele ETH primite de la aceștia. încercând să pună o punte de fonduri de la Ethereum la Arbitrul Nitru.
Riptide a explicat exploit într-o postare medie de marți:
„Am putea fie să vizam în mod selectiv depozitele mari de ETH pentru a rămâne nedetectate pentru o perioadă mai lungă de timp, să colectăm fiecare depozit care trece prin pod, fie să așteptăm și să conducem următorul depozit masiv de ETH.”
Hackul ar fi putut aduce zeci sau chiar sute de milioane de ETH, deoarece cea mai mare cantitate de depozit înregistrată în căsuța de e-mail a fost de 168,000 ETH în valoare de peste 225 de milioane de dolari, iar depozitele tipice variau între 1000 și 5000 ETH într-o perioadă de 24 de ore, în valoare de între 1.34 și 6.7 milioane USD.
În ciuda potențialului de câștig din câștigurile obținute rău, riptide a fost recunoscător că „echipa Arbitrum extrem de bazată” a oferit o recompensă de 400 ETH, în valoare de peste 536,500 USD. Cu toate acestea, ei au adăugat mai târziu pe Twitter că o astfel de descoperire „ar trebui să fie eligibilă pentru o recompensă maximă”, care este valoare $ 2 milioane.
Nu e mare lucru doar să faci o punte de 470 mm prin același contract Inbox
Cu siguranță ar trebui să fie eligibil pentru o recompensă maximă
— riptide (@0xriptide) 20 Septembrie, 2022
Nici Arbitrum, nici compania creatoare OffChain Labs nu au comentat public despre exploit; Cointelegraph a contactat OffChain Labs pentru comentarii, dar nu a primit răspuns imediat.
Related: ETHW confirmă exploatarea vulnerabilității contractului, respinge revendicările de atac de reluare
Arbitrum este o soluție Optimistic Rollup de nivel 2 pentru Ethereum, care grupează loturi de tranzacții înainte de a le trimite în rețeaua Ethereum, într-un efort de a minimiza congestionarea rețelei și de a economisi taxe. Arbitrum Nitro lansat pe 31 august, un upgrade menit să simplifice comunicarea dintre Arbitrum și Ethereum, precum și să crească debitul tranzacțiilor sale la comisioane mai mici.
Hack-uri de bridge în stil similar au avut succes pentru exploatatori în acest an, în special pentru 100 de milioane de dolari furate de pe Podul Horizon în iunie și recentul incident Nomad token bridge din august, care a dus la consumarea de 190 de milioane de dolari de către original și „copycat” hackeri care repetă exploit.
Sursa: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty