Самонаречен хакер со бела капа открил „ранливост од повеќе милиони долари“ во мостот што ги поврзува Ethereum и Arbitrum Nitro и добил 400 Ether (ЕТХ) распродажба за нивното наоѓање.
Познат како riptide на Твитер, хакерот ја опиша експлоатацијата како употреба на функција за иницијализирање за поставување на сопствена адреса на мостот, што ќе ги киднапира сите дојдовни депозити на ETH од тие обидувајќи се да ги премости средствата од Ethereum до Арбитрам Нитро.
Riptide објасни експлоатацијата во објава на Медиум во вторникот:
„Можеме или селективно да ги насочиме големите депозити на ЕТХ за да останат неоткриени подолг временски период, да го собираме секој депозит што доаѓа низ мостот или да чекаме и само да го извршиме следниот масивен ЕТХ депозит“.
Со хакирањето можеше да се добие потенцијална вредност на ЕТХ од десетици, па дури и стотици милиони, бидејќи најголемиот депозит забележан во сандачето беше 168,000 ЕТХ во вредност од над 225 милиони долари, а типичните депозити се движеа од 1000 до 5000 ЕТХ во период од 24 часа, во вредност од помеѓу 1.34 и 6.7 милиони долари.
И покрај потенцијалот за заработка од незаконски стекнатите добивки, riptide беше благодарен што „екстремно базираниот тим Arbitrum“ обезбеди награда од 400 ETH, во вредност од над 536,500 американски долари. Сепак, тие додадоа подоцна на Твитер дека таквото откритие „треба да се квалификува за максимална награда“, што е вреди $ 2 милиони.
Нема голема работа само премостување на кул $470 милиметри преку истиот договор за Inbox
Дефинитивно треба да се квалификува за максимална награда
— риптид (@0xriptide) Септември 20, 2022
Ниту Арбитрум, ниту компанијата креатор OffChain Labs јавно не коментираа за експлоатацијата; Cointelegraph контактираше со OffChain Labs за коментар, но веднаш не слушна.
Поврзани со: ETHW ја потврдува експлоатацијата на ранливоста на договорот, ги отфрла тврдењата за напад за повторување
Arbitrum е решение за оптимистичко собирање слој-2 за Ethereum, групирајќи серии на трансакции пред да ги достави до мрежата на Ethereum во обид да се минимизира застојот на мрежата и да заштеди на такси. Арбитрум Нитро лансирана на 31 август, надградба чија цел е да ја поедностави комуникацијата помеѓу Arbitrum и Ethereum, како и да ја зголеми неговата пропусност на трансакции со пониски такси.
Сличен стил на хакирање на мостови беа успешни за експлоататорите оваа година, особено за Украдени 100 милиони долари од мостот Хоризонт во јуни и неодамнешниот инцидент со токен мостот Номад во август, во кој беа исцедени 190 милиони долари од оригиналот и „копијата“ хакери кои го повторуваат експлоатот.
Извор: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty