En selvskreven white hat hacker har avdekket en "multi-million dollar sårbarhet" i broen som forbinder Ethereum og Arbitrum Nitro og mottok en 400 Ether (ETH) dusør for funnet.
Kjent som riptide på Twitter, beskrev hackeren utnyttelsen som bruk av en initialiseringsfunksjon for å angi sin egen broadresse, som ville kapre alle innkommende ETH-innskudd fra disse prøver å bygge bro mellom midler fra Ethereum til Voldgift Nitre.
Riptide forklarte utnyttelsen i et Medium-innlegg tirsdag:
"Vi kan enten selektivt målrette mot store ETH-forekomster for å forbli uoppdaget over lengre tid, suge opp hvert eneste innskudd som kommer gjennom broen, eller vente og bare kjøre den neste massive ETH-forekomsten i forkant."
Hacket kan potensielt ha gitt ETH til en verdi av titalls eller hundrevis av millioner, ettersom den største innskuddsriptiden registrert i innboksen var 168,000 225 ETH verdt over 1000 millioner dollar, og typiske innskudd varierte fra 5000 til 24 ETH i en 1.34-timers periode, verdt mellom $6.7 til $XNUMX millioner.
Til tross for inntjeningspotensialet fra de dårlig oppnådde gevinstene, var riptide takknemlig for at det "ekstremt baserte Arbitrum-teamet" ga en dusør på 400 ETH, verdt over $536,500 XNUMX. Imidlertid la de til senere på Twitter at et slikt funn "bør være kvalifisert for en maksimal dusør", som er verdt $ 2 millioner.
Ingen big deal bare å bygge bro over en kul $470 mm gjennom den samme Inbox-kontrakten
Bør definitivt være kvalifisert for en maksimal dusør
— riptide (@0xriptide) September 20, 2022
Verken Arbitrum eller dets skaperselskap OffChain Labs har offentlig kommentert utnyttelsen; Cointelegraph kontaktet OffChain Labs for kommentar, men hørte ikke tilbake umiddelbart.
Relatert: ETHW bekrefter utnyttelse av kontraktssårbarhet, avviser påstander om replay-angrep
Arbitrum er en Layer-2 Optimistic Rollup-løsning for Ethereum, som grupperer batcher med transaksjoner før de sendes til Ethereum-nettverket i et forsøk på å minimere nettverksoverbelastning og spare avgifter. Arbitrum Nitro lansert 31. august, en oppgradering som tar sikte på å forenkle kommunikasjonen mellom Arbitrum og Ethereum, samt øke transaksjonsgjennomstrømningen til lavere avgifter.
Tilsvarende bridge-hack har vært vellykket for utnyttere i år, spesielt 100 millioner dollar stjålet fra Horizon Bridge i juni og den nylige Nomad token bridge-hendelsen i august, der 190 millioner dollar ble tappet av originalen og "copycat" hackere som gjentar utnyttelsen.
Kilde: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty