Ennast kirjeldanud valge mütsi häkker avastas Ethereumi ja Arbitrum Nitrot ühendavas sillas "mitme miljoni dollari suuruse haavatavuse" ning sai 400 eetri (ETH) pearaha nende leiu eest.
Twitteris riptidena tuntud häkker kirjeldas ärakasutamist kui initsialiseerimisfunktsiooni kasutamist oma sillaaadressi määramiseks, mis kaaperdab kõik nendelt sissetulevad ETH hoiused. püüdes rahalisi vahendeid ühendada Ethereumist kuni vahekohus Nitre.
Riptide selgitas ärakasutamine teisipäevases keskmises postituses:
"Võiksime kas valikuliselt sihtida suuri ETH-maardlaid, et neid ei avastataks pikema aja jooksul, sifoonida iga üksikut silla kaudu tulevat hoiust või oodata ja lihtsalt käivitada järgmine massiivne ETH-maardla."
Häkkimine võis potentsiaalselt teenida kümnete või isegi sadade miljonite ETH-d, kuna postkastis registreeritud suurim sissemaksete riptide arv oli 168,000 225 ETH väärtuses üle 1000 miljoni dollari ja tüüpilised hoiused ulatusid 5000 kuni 24 ETH 1.34-tunnise perioodi jooksul. vahemikus 6.7 kuni XNUMX miljonit dollarit.
Hoolimata ebaseaduslikult saadud kasumist teenitavast potentsiaalist, oli riptide tänulik, et "äärmiselt põhinev Arbitrumi meeskond" andis 400 ETH bounty, mille väärtus oli üle 536,500 XNUMX $. Kuid nad lisasid hiljem Twitteris, et selline leid "peaks vastama maksimaalsele preemiale", mis on väärt $ 2 miljonit.
Pole suurt midagi, kui sama Inboxi lepingu kaudu ületada lahe 470 mm dollari suurus
Kindlasti peaks olema õigus saada max bounty
— riptide (@0xriptide) September 20, 2022
Ei Arbitrum ega selle loojafirma OffChain Labs pole seda ärakasutamist avalikult kommenteerinud; Cointelegraph võttis kommentaari saamiseks ühendust OffChain Labsiga, kuid ei võtnud kohe vastu.
Seotud: ETHW kinnitab lepingu haavatavuse ärakasutamist, lükkab tagasi taasesituse rünnaku väited
Arbitrum on Ethereumi jaoks mõeldud 2. kihi optimistlik koondlahendus, mis koondab tehingupartiid enne nende edastamist Ethereumi võrku, et minimeerida võrgu ülekoormust ja säästa tasusid. Arbitrum Nitro käivitati 31. augustil, uuendus, mille eesmärk on lihtsustada suhtlust Arbitumi ja Ethereumi vahel ning suurendada selle tehingute läbilaskevõimet madalamate tasudega.
Sarnases stiilis sildade häkkimine on sel aastal olnud ekspluateerijate jaoks edukas, eriti Horisondi sillalt varastati 100 miljonit dollarit juunis ja hiljutine Nomad token Bridge'i intsident augustis, mille käigus läks originaal ja "koopia" ära 190 miljonit dollarit. häkkerid kordavad ärakasutamist.
Allikas: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty