Hacker s bielym klobúkom, ktorý sa označuje ako biely, odhalil „mnohomiliónovú zraniteľnosť“ v moste spájajúcom Ethereum a Arbitrum Nitro a získal 400 éterov (ETH) odmenu za ich nález.
Hacker, známy ako riptide na Twitteri, opísal exploit ako použitie inicializačnej funkcie na nastavenie vlastnej adresy mosta, ktorá by ukradla všetky prichádzajúce vklady ETH z týchto snažia preklenúť finančné prostriedky z Etherea do Arbitráž Nitre.
Riptide vysvetlil exploit v strednom príspevku v utorok:
"Mohli by sme buď selektívne zacieliť veľké vklady ETH, aby zostali nezistené dlhší čas, vysať každý jeden vklad, ktorý prejde cez most, alebo počkať a spustiť ďalší masívny vklad ETH."
Hack mohol potenciálne získať desiatky alebo dokonca stovky miliónov ETH v hodnote, pretože najväčší nárast vkladov zaznamenaný v doručenej pošte bol 168,000 225 ETH v hodnote viac ako 1000 miliónov USD a typické vklady sa pohybovali od 5000 24 do 1.34 6.7 ETH za XNUMX-hodinové obdobie v hodnote medzi XNUMX až XNUMX milióna dolárov.
Napriek potenciálu zárobku zo zle získaných ziskov bol riptide vďačný, že „extrémne založený tím Arbitrum“ poskytol odmenu 400 ETH v hodnote viac ako 536,500 XNUMX dolárov. Neskôr však na Twitteri dodali, že takýto nález „by mal mať nárok na maximálnu odmenu“, čo je hodnota $ 2 miliónov.
Žiadna veľká vec, len premostenie skvelých 470 mm cez rovnakú zmluvu Inbox
Určite by mal mať nárok na maximálnu odmenu
- riptide (@0xriptide) September 20, 2022
Ani Arbitrum, ani jeho tvorca spoločnosť OffChain Labs verejne nekomentovali tento exploit; Cointelegraph kontaktoval OffChain Labs so žiadosťou o komentár, ale okamžite nedostal odpoveď.
Súvisiace: ETHW potvrdzuje zneužitie zraniteľnosti zmluvy a odmieta tvrdenia o opakovanom útoku
Arbitrum je optimistické Rollup riešenie vrstvy 2 pre Ethereum, ktoré zoskupuje dávky transakcií pred ich odoslaním do siete Ethereum v snahe minimalizovať preťaženie siete a ušetriť na poplatkoch. Arbitrum Nitro spustený 31. augusta, upgrade zameraný na zjednodušenie komunikácie medzi Arbitrum a Ethereum, ako aj zvýšenie jeho transakčnej priepustnosti za nižšie poplatky.
Mostové hacky podobného štýlu boli tento rok úspešné pre vykorisťovateľov, najmä 100 miliónov dolárov ukradnutých z mosta Horizon v júni a nedávny incident Nomad token bridge v auguste, pri ktorom originál a „kopírovač“ odčerpali 190 miliónov dolárov hackeri opakujúci exploit.
Zdroj: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty