Хакер, называющий себя «белой шляпой», обнаружил «многомиллионную уязвимость» в мосту, связывающем Ethereum и Arbitrum Nitro, и получил 400 эфиров (ETH) щедрость за их находку.
Известный в Твиттере как riptide, хакер описал эксплойт как использование функции инициализации для установки собственного адреса моста, который будет перехватывать все входящие депозиты ETH от этих попытка свести средства из Эфириума в арбитум Нитро.
Разрывное течение объяснены эксплойт в посте на Medium во вторник:
«Мы могли бы либо выборочно нацеливаться на крупные депозиты ETH, чтобы оставаться незамеченными в течение более длительного периода времени, перекачивать каждый депозит, который проходит через мост, либо подождать и просто запустить следующий крупный депозит ETH».
Взлом потенциально мог принести десятки или даже сотни миллионов ETH, так как крупнейший депозитный поток, зарегистрированный в почтовом ящике, составил 168,000 225 ETH на сумму более 1000 миллионов долларов, а типичные депозиты варьировались от 5000 до 24 ETH за 1.34-часовой период на сумму от 6.7 до XNUMX млн долларов.
Несмотря на потенциальный доход от незаконно полученных доходов, riptide был благодарен за то, что «чрезвычайно основанная команда Arbitrum» предоставила вознаграждение в размере 400 ETH на сумму более 536,500 XNUMX долларов США. Однако позже они добавили в Твиттере, что такая находка «должна давать право на максимальную награду». стоимость 2 миллиона долларов.
Ничего страшного, просто перекинуть крутые 470 миллионов долларов по тому же контракту Inbox.
Определенно должен иметь право на максимальную награду
— риптид (@0xriptide) 20 сентября, 2022
Ни Arbitrum, ни его компания-создатель OffChain Labs публично не прокомментировали эксплойт; Коинтелеграф связался с OffChain Labs для комментариев, но не сразу получил ответ.
Связанный: ETHW подтверждает использование уязвимости контракта, отклоняет претензии по повторной атаке
Arbitrum — это решение уровня 2 Optimistic Rollup для Ethereum, объединяющее пакеты транзакций перед их отправкой в сеть Ethereum, чтобы свести к минимуму перегрузку сети и сэкономить на комиссиях. Арбитрум Нитро запущен 31 августа, обновление, направленное на упрощение связи между Arbitrum и Ethereum, а также на увеличение пропускной способности транзакций при более низких комиссиях.
Подобные взломы моста были успешными для эксплуататоров в этом году, в частности, С моста Horizon украли 100 миллионов долларов в июне и недавний инцидент с токен-бриджем Nomad в августе, в результате которого оригинал и «подражатель» потеряли 190 миллионов долларов. хакеры повторяют эксплойт.
Источник: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty.