Egy magát fehérkalapos hacker „több millió dolláros sebezhetőséget” fedezett fel az Ethereumot és az Arbitrum Nitro-t összekötő hídon, és kapott egy 400 Ethert (ETH) jutalom a leletért.
A Twitteren riptide néven ismert hacker a kizsákmányolást úgy írta le, mint egy inicializálási funkciót saját hídcímük beállítására, amely eltéríti az összes bejövő ETH-betétet azoktól. próbálják áthidalni az alapokat az Ethereumtól a választottbíróság Salétrom.
Dagály magyarázható az exploit egy keddi Medium bejegyzésben:
„Vagy szelektíven megcélozhatjuk a nagyméretű ETH-lerakódásokat, hogy hosszabb ideig észrevétlenül maradjunk, felszívhatunk minden egyes betétet, amely a hídon keresztül érkezik, vagy várhatunk, és csak előfuthatunk a következő hatalmas ETH-lerakódással.”
A feltörés potenciálisan több tíz vagy akár százmilliós ETH nettósítást is eredményezhetett volna, mivel a postaládában rögzített legnagyobb betéti riptide 168,000 225 ETH volt, több mint 1000 millió dollár értékben, és a tipikus befizetések 5000 és 24 ETH között mozogtak egy 1.34 órás időszak alatt. 6.7 és XNUMX millió dollár között.
A jogosulatlan nyereségből származó bevételi lehetőség ellenére riptide hálás volt, hogy a „szélsőségesen bázisú Arbitrum csapat” 400 ETH jutalmat biztosított, több mint 536,500 XNUMX dollár értékben. Később azonban a Twitteren hozzátették, hogy egy ilyen leletnek "maximális jutalomra kell számítania", ami igen érdemes $ 2 millió.
Nem nagy ügy, csak áthidalni a 470 millió dollárt ugyanazon az Inbox szerződésen keresztül
Feltétlenül jogosultnak kell lennie a maximális jutalomra
— riptide (@0xriptide) 20. szeptember 2022.
Sem az Arbitrum, sem a létrehozó cége, az OffChain Labs nem kommentálta nyilvánosan a visszaélést; A Cointelegraph felvette a kapcsolatot az OffChain Labs-szal, hogy észrevételt tegyen, de nem kapott azonnal visszajelzést.
Kapcsolódó: Az ETHW megerősíti a szerződéses sebezhetőség kihasználását, és elutasítja a visszajátszási támadásokat
Az Arbitrum egy 2. rétegű Optimistic Rollup megoldás az Ethereum számára, amely a tranzakciók kötegeit csoportosítja, mielőtt elküldené azokat az Ethereum hálózatnak, hogy minimalizálja a hálózati torlódást és megtakarítsa a díjakat. Arbitrum Nitro augusztus 31-én indult, egy frissítés, amelynek célja az Arbitrum és az Ethereum közötti kommunikáció egyszerűsítése, valamint a tranzakciók átviteli sebességének növelése alacsonyabb díjak mellett.
A hasonló stílusú hídhackek idén sikeresek voltak a kizsákmányolók számára, nevezetesen a 100 millió dollárt loptak el a Horizont hídról júniusban és a közelmúltban, augusztusban történt Nomad token bridge incidensben, amelynek során 190 millió dollárt ürített ki az eredeti és a „másolat” hackerek megismétlik a kizsákmányolást.
Forrás: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty