Heker, ki se sam opisuje kot beli klobuk, je odkril "večmilijonsko ranljivost" v mostu, ki povezuje Ethereum in Arbitrum Nitro, ter prejel 400 Ether (ETH) nagrada za njihovo najdbo.
Heker, znan kot riptide na Twitterju, je izkoriščanje opisal kot uporabo inicializacijske funkcije za nastavitev lastnega naslova mostu, ki bi ugrabil vse dohodne depozite ETH od teh poskuša premostiti sredstva od Ethereuma do arbitražo Nitre.
Riptide razložiti izkoriščanje v objavi Medium v torek:
"Lahko bi bodisi selektivno ciljali na velike depozite ETH, da bi ostali neodkriti dlje časa, izčrpali vsak posamezen depozit, ki pride skozi most, ali pa počakali in samo vnaprej vodili naslednji ogromen depozit ETH."
Vdor bi lahko potencialno prinesel na desetine ali celo stotine milijonov ETH, saj je bil največji val depozitov, zabeleženih v mapi »Prejeto«, 168,000 ETH v vrednosti več kot 225 milijonov dolarjev, tipični depoziti pa so segali od 1000 do 5000 ETH v 24-urnem obdobju, v vrednosti med 1.34 in 6.7 milijona dolarjev.
Kljub potencialu zaslužka z nezakonito pridobljenimi dobički je bil Riptide hvaležen, da je "izjemno utemeljena ekipa Arbitrum" zagotovila nagrado v višini 400 ETH v vrednosti več kot 536,500 $. Vendar so pozneje na Twitterju dodali, da bi morala biti takšna najdba "upravičena do največje nagrade", kar je vredno $ 2 milijonov.
Nič hudega, samo premostitev dobrih 470 mm USD prek iste pogodbe za Inbox
Vsekakor bi moral biti upravičen do največje nagrade
— riptide (@0xriptide) September 20, 2022
Niti Arbitrum niti njegovo ustvarjalno podjetje OffChain Labs nista javno komentirala izkoriščanja; Cointelegraph se je obrnil na OffChain Labs za komentar, vendar se ni takoj oglasil.
Povezano: ETHW potrjuje izkoriščanje ranljivosti pogodbe, zavrača trditve o napadih s ponovnim predvajanjem
Arbitrum je rešitev Optimistic Rollup plasti 2 za Ethereum, ki združuje serije transakcij, preden jih pošlje v omrežje Ethereum, da bi čim bolj zmanjšala prezasedenost omrežja in prihranila pri stroških. Arbitrum Nitro začela 31. avgusta, nadgradnja, namenjena poenostavitvi komunikacije med Arbitrumom in Ethereumom ter povečanju prepustnosti transakcij z nižjimi stroški.
Bridge hacks v podobnem slogu so bili letos uspešni za izkoriščevalce, predvsem za Z mostu Horizon so ukradli 100 milijonov dolarjev junija in nedavni incident Nomad token bridge v avgustu, ki je povzročil 190 milijonov $ izčrpanih iz izvirnika in "copycat" hekerji ponavljajo napad.
Vir: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty