En selvskreven white hat hacker har afsløret en "multi-million dollar sårbarhed" i broen, der forbinder Ethereum og Arbitrum Nitro og modtaget en 400 Ether (ETH) dusør for deres fund.
Kendt som riptide på Twitter, beskrev hackeren udnyttelsen som brugen af en initialiseringsfunktion til at indstille deres egen broadresse, som ville kapre alle indkommende ETH-indskud fra disse forsøger at bygge bro mellem midler fra Ethereum til Voldgift Nitre.
Riptide forklarede udnyttelsen i et medium indlæg tirsdag:
"Vi kunne enten selektivt målrette store ETH-aflejringer for at forblive uopdagede i længere tid, suge hver enkelt indskud op, der kommer gennem broen, eller vente og bare køre den næste massive ETH-aflejring i front."
Hacket kunne potentielt have tilført titusindvis eller endda hundreder af millioner af ETH, da den største indbetalingsriptide registreret i indbakken var 168,000 ETH til en værdi af over $225 millioner, og typiske indskud varierede fra 1000 til 5000 ETH i en 24-timers periode, til en værdi af mellem $1.34 til $6.7 mio.
På trods af indtjeningspotentialet fra de dårligt opnåede gevinster, var riptide taknemmelig for, at det "ekstremt baserede Arbitrum-team" gav en dusør på 400 ETH til en værdi af over $536,500. De tilføjede dog senere på Twitter, at et sådant fund "bør være berettiget til en maksimal dusør", som er værd $ 2 millioner.
Ingen big deal bare at bygge bro mellem en cool $470 mm gennem den samme Inbox-kontrakt
Bør bestemt være berettiget til en maksimal dusør
— riptide (@0xriptide) September 20, 2022
Hverken Arbitrum eller dets skaberfirma OffChain Labs har offentligt kommenteret udnyttelsen; Cointelegraph kontaktede OffChain Labs for en kommentar, men hørte ikke umiddelbart tilbage.
Relateret: ETHW bekræfter udnyttelse af kontraktsårbarhed, afviser replay-angrebskrav
Arbitrum er en Layer-2 Optimistic Rollup-løsning til Ethereum, der grupperer batcher af transaktioner, før de indsendes til Ethereum-netværket i et forsøg på at minimere overbelastning af netværket og spare på gebyrer. Arbitrum Nitro lanceret den 31. august, en opgradering, der har til formål at forenkle kommunikationen mellem Arbitrum og Ethereum, samt at øge dets transaktionsgennemstrømning til lavere gebyrer.
Bridge-hacks i lignende stil har været succesfulde for udnyttere i år, især 100 millioner dollars stjålet fra Horizon Bridge i juni og den nylige Nomad token bridge-hændelse i august, hvor $190 millioner blev drænet af originalen og "copycat" hackere, der gentager udnyttelsen.
Kilde: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty