Haker koji se sam opisuje kao bijeli šešir otkrio je "ranjivost od više milijuna dolara" u mostu koji povezuje Ethereum i Arbitrum Nitro i primio 400 Ethera (ETH) nagrada za njihov pronalazak.
Poznat kao riptide na Twitteru, haker je opisao eksploataciju kao korištenje funkcije inicijalizacije za postavljanje vlastite adrese mosta, koja bi otela sve dolazne ETH depozite od onih pokušavajući premostiti sredstva od Ethereuma do arbitraže Salitra.
Riptide objašnjen iskorištavanje u Medium postu u utorak:
"Mogli bismo ili selektivno ciljati na velike ETH depozite kako bismo ostali neotkriveni dulje vrijeme, izvući svaki pojedini depozit koji dođe kroz most ili pričekati i samo unaprijed pokrenuti sljedeći masivni ETH depozit."
Hakiranje je potencijalno moglo donijeti desetke ili čak stotine milijuna ETH-a, budući da je najveći porast depozita zabilježen u pristigloj pošti iznosio 168,000 225 ETH u vrijednosti od preko 1000 milijuna dolara, a tipični depoziti kretali su se od 5000 do 24 ETH u razdoblju od 1.34 sata, u vrijednosti između 6.7 i XNUMX milijuna dolara.
Unatoč potencijalu zarade od nepošteno stečenih dobitaka, Riptide je bio zahvalan što je "iznimno utemeljen Arbitrum tim" osigurao nagradu od 400 ETH, u vrijednosti od preko 536,500 $. Međutim, kasnije su na Twitteru dodali da bi takvo otkriće "trebalo ispunjavati uvjete za maksimalnu nagradu", što je vrijedan $ 2 milijuna.
Ništa strašno samo premošćivanje dobrih 470 mm USD kroz isti ugovor za Inbox
Definitivno bi trebao ispunjavati uvjete za maksimalnu nagradu
— riptide (@0xriptide) Rujna 20, 2022
Ni Arbitrum ni njegova tvrtka kreator OffChain Labs nisu javno komentirali exploit; Cointelegraph je kontaktirao OffChain Labs za komentar, ali nije odmah dobio odgovor.
Povezano: ETHW potvrđuje iskorištavanje ranjivosti ugovora, odbacuje tvrdnje o napadu ponavljanjem
Arbitrum je sloj 2 Optimistic Rollup rješenje za Ethereum, grupiranje serija transakcija prije nego što se pošalju na Ethereum mrežu u nastojanju da se smanji zagušenje mreže i uštedi na naknadama. Arbitrum Nitro pokrenut 31. kolovoza, nadogradnja čiji je cilj pojednostaviti komunikaciju između Arbitruma i Ethereuma, kao i povećati njegovu propusnost transakcija uz niže naknade.
Bridge hackovi u sličnom stilu bili su uspješni za eksploatatore ove godine, osobito za 100 milijuna dolara ukradeno s mosta Horizont u lipnju i nedavni incident Nomad token bridge u kolovozu, koji je donio 190 milijuna dolara iscrpljenih od strane originala i "copycat"-a hakeri ponavljaju iskorištavanje.
Izvor: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty