Хакер, які сябе назваў белым капелюшом, выявіў «шматмільённую ўразлівасць» у мосце, які злучае Ethereum і Arbitrum Nitro, і атрымаў 400 эфіраў (ETH) ўзнагарода за іх знаходку.
Вядомы ў Twitter як riptide, хакер апісаў эксплойт як выкарыстанне функцыі ініцыялізацыі для ўстанаўлення ўласнага адраса моста, які захоплівае ўсе ўваходныя дэпазіты ETH ад тых спрабуе пераадолець сродкі ад Ethereum да Арбітрам Нітра.
Разрыўныя працягу растлумачаны эксплойт у паведамленні Medium у аўторак:
«Мы маглі б альбо выбарачна нацэльвацца на буйныя дэпазіты ETH, каб заставацца незаўважанымі на працягу больш доўгага перыяду часу, перабіраць кожны асобны дэпазіт, які паступае праз мост, або чакаць і проста апярэджваць наступны вялікі дэпазіт ETH».
Узлом патэнцыйна мог прынесці дзесяткі ці нават сотні мільёнаў ETH, паколькі самая вялікая хваля дэпазітаў, зарэгістраваная ў паштовай скрыні, складала 168,000 225 ETH на суму больш за 1000 мільёнаў долараў, а тыповыя дэпазіты вагаліся ад 5000 да 24 ETH за 1.34-гадзінны перыяд на суму ад 6.7 да XNUMX мільёна долараў.
Нягледзячы на магчымасць заробку ад незаконна атрыманых даходаў, Riptide быў удзячны за тое, што «надзвычай заснаваная каманда Arbitrum» забяспечыла ўзнагароду ў памеры 400 ETH на суму больш за 536,500 XNUMX долараў. Аднак пазней яны дадалі ў Twitter, што такая знаходка "павінна мець права на максімальную ўзнагароду", якая кошт $ 2 млн.
Нічога страшнага, проста пераадолець класныя 470 млн долараў праз той жа кантракт на Inbox
Безумоўна, вы павінны мець права на максімальную ўзнагароду
— riptide (@0xriptide) Верасень 20, 2022
Ні Arbitrum, ні кампанія-стваральнік OffChain Labs публічна не пракаментавалі эксплойт; Cointelegraph звязаўся з OffChain Labs па каментарый, але не атрымаў адказу адразу.
Па тэме: ETHW пацвярджае выкарыстанне ўразлівасці кантракту, адхіляе заявы аб атаках паўторнага прайгравання
Arbitrum - гэта аптымістычнае зводнае рашэнне ўзроўню 2 для Ethereum, якое кластэрызуе пакеты транзакцый перад адпраўкай іх у сетку Ethereum, каб мінімізаваць перагрузку сеткі і зэканоміць на зборах. Arbitrum Nitro запушчаны 31 жніўня, абнаўленне, накіраванае на спрашчэнне сувязі паміж Arbitrum і Ethereum, а таксама павелічэнне прапускной здольнасці транзакцый пры больш нізкіх камісіях.
Брыдж-хакі ў падобным стылі былі паспяховымі для эксплуататараў у гэтым годзе, у прыватнасці, для 100 мільёнаў долараў скрадзеныя з моста Horizon Bridge у чэрвені і нядаўні інцыдэнт Nomad token bridge у жніўні, у выніку якога арыгінал і «копія» выдалілі 190 мільёнаў долараў хакеры паўтараюць эксплойт.
Крыніца: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty