Хакер, який себе назвав білим капелюхом, виявив «багатомільйонну вразливість» у мосту, що з’єднує Ethereum і Arbitrum Nitro, і отримав 400 ефірів (ETH) нагорода за їх знахідку.
Хакер, відомий як riptide у Twitter, описав експлойт як використання функції ініціалізації для встановлення власної адреси мосту, яка викрадає всі вхідні депозити ETH від цих намагаючись подолати кошти від Ethereum до Арбітраж Нітро.
розривна течія пояснені експлойт у дописі Medium у вівторок:
«Ми могли б або вибірково націлюватися на великі депозити ETH, щоб залишатися непоміченими протягом більш тривалого періоду часу, перекачувати кожен окремий депозит, який надходить через міст, або чекати та просто передбачати наступний масивний депозит ETH».
Цей злом потенційно міг отримати десятки або навіть сотні мільйонів ETH, оскільки найбільша кількість депозитів, зареєстрована у вхідній скриньці, становила 168,000 225 ETH на суму понад 1000 мільйонів доларів, а типові депозити коливалися від 5000 до 24 ETH за 1.34-годинний період на суму від 6.7 до XNUMX мільйонів доларів США.
Незважаючи на потенціал прибутку від нечесної вигоди, riptide був вдячний за те, що «надзвичайно заснована команда Arbitrum» надала винагороду в 400 ETH на суму понад 536,500 XNUMX доларів США. Однак пізніше вони додали в Твіттері, що така знахідка «має мати право на максимальну винагороду», яка є вартість $ 2 мільйон.
Нічого страшного, просто поєднайте круті 470 млн. доларів США через той самий контракт Inbox
Безумовно, має бути право на максимальну винагороду
— riptide (@0xriptide) Вересень 20, 2022
Ні Arbitrum, ні компанія-розробник OffChain Labs публічно не прокоментували експлойт; Cointelegraph звернувся до OffChain Labs, щоб отримати коментар, але не отримав відповіді.
За темою: ETHW підтверджує використання вразливості контракту, відхиляє заяви про атаку повторного відтворення
Arbitrum — це оптимістичне зведене рішення рівня 2 для Ethereum, яке кластеризує пакети транзакцій перед надсиланням їх у мережу Ethereum, щоб мінімізувати перевантаження мережі та заощадити на комісії. Арбітрум Нітро запущений 31 серпня, оновлення, спрямоване на спрощення зв’язку між Arbitrum і Ethereum, а також збільшення пропускної здатності транзакцій за нижчих комісій.
Подібні бридж-хаки цього року були успішними для експлуататорів, зокрема, для З мосту Horizon Bridge вкрали 100 мільйонів доларів у червні та нещодавній інцидент Nomad token bridge у серпні, у результаті якого оригінал і «копія» витратили 190 мільйонів доларів хакери повторюють експлойт.
Джерело: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty