Хакер с бяла шапка, който се самоопределя, откри „уязвимост за милиони долари“ в моста, свързващ Ethereum и Arbitrum Nitro, и получи 400 Ether (ETH) награда за находката им.
Известен като riptide в Twitter, хакерът описва експлойта като използване на инициализираща функция за задаване на собствен мостов адрес, който ще отвлече всички входящи ETH депозити от тези опитвайки се да преодолеят средства от Ethereum до Арбитрам Нитро.
Въртоп обясни експлойта в средна публикация във вторник:
„Бихме могли или избирателно да се насочим към големи ETH депозити, за да останем незабелязани за по-дълъг период от време, да изтеглим всеки един депозит, който идва през моста, или да изчакаме и просто да изпълним следващия масивен ETH депозит.“
Хакването може потенциално да спечели ETH на стойност десетки или дори стотици милиони, тъй като най-големият поток от депозити, записан във входящата кутия, беше 168,000 225 ETH на стойност над $1000 милиона, а типичните депозити варираха от 5000 до 24 ETH за 1.34-часов период, на стойност между 6.7 и XNUMX милиона долара.
Въпреки потенциала за печалба от неправомерно спечелените печалби, riptide беше благодарен, че „изключително базираният екип на Arbitrum“ предостави награда от 400 ETH на стойност над $536,500 XNUMX. Те обаче добавиха по-късно в Twitter, че подобна находка „трябва да отговаря на условията за максимална награда“, която е заслужава си $ 2 милиона.
Нищо страшно, просто прехвърляне на страхотни $470 милиарда чрез същия договор за Inbox
Определено трябва да отговаря на условията за максимална награда
— riptide (@0xriptide) Септември 20, 2022
Нито Arbitrum, нито неговата създателска компания OffChain Labs са коментирали публично експлойта; Cointelegraph се свърза с OffChain Labs за коментар, но не получи отговор веднага.
Свързани: ETHW потвърждава експлоатацията на уязвимостта на договора, отхвърля претенциите за повторна атака
Arbitrum е Optimistic Rollup решение от ниво 2 за Ethereum, групиращо партиди от транзакции, преди да ги изпрати в мрежата на Ethereum в опит да минимизира претоварването на мрежата и да спести такси. Арбитрум Нитро стартира на 31 август, надграждане, целящо да опрости комуникацията между Arbitrum и Ethereum, както и да увеличи пропускателната способност на транзакциите при по-ниски такси.
Бридж хаковете с подобен стил бяха успешни за експлоататорите тази година, особено за 100 милиона долара са откраднати от моста Хоризонт през юни и неотдавнашния инцидент с Nomad token bridge през август, при който бяха източени 190 милиона долара от оригинала и „копията“ хакери, повтарящи експлойта.
Източник: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty