Een zichzelf beschreven white hat-hacker heeft een "kwetsbaarheid van meerdere miljoenen dollars" ontdekt in de brug die Ethereum en Arbitrum Nitro verbindt en ontving een 400 Ether (ETH) premie voor hun vondst.
Bekend als riptide op Twitter, beschreef de hacker de exploit als het gebruik van een initialisatiefunctie om hun eigen bridge-adres in te stellen, waardoor alle inkomende ETH-deposito's van die proberen om fondsen te overbruggen van Ethereum naar arbitrum nitro.
stortvloed uitgelegd de exploit in een Medium bericht op dinsdag:
"We kunnen ofwel selectief grote ETH-deposito's targeten om voor een langere periode onopgemerkt te blijven, elke storting die door de brug komt, overhevelen, of wachten en gewoon de volgende enorme ETH-storting voorgaan."
De hack had mogelijk tientallen of zelfs honderden miljoenen ETH kunnen opleveren, aangezien de grootste stortingsriptide die in de inbox werd geregistreerd 168,000 ETH was met een waarde van meer dan $ 225 miljoen, en typische stortingen varieerden van 1000 tot 5000 ETH in een periode van 24 uur, ter waarde van tussen $ 1.34 en $ 6.7 miljoen.
Ondanks het winstpotentieel van de onrechtmatig verkregen winsten, was Riptide dankbaar dat het "extreem gebaseerde Arbitrum-team" een 400 ETH-bounty opleverde, ter waarde van meer dan $ 536,500. Later voegden ze er echter op Twitter aan toe dat zo'n vondst "in aanmerking zou moeten komen voor een maximale premie", wat is: waard $ 2 miljoen.
Geen probleem, gewoon een coole $ 470 mm overbruggen via hetzelfde Inbox-contract
Zou zeker in aanmerking moeten komen voor een maximale premie
— vloedgolf (@0xriptide) 20 september 2022
Noch Arbitrum, noch het makerbedrijf OffChain Labs hebben publiekelijk gereageerd op de exploit; Cointelegraph nam contact op met OffChain Labs voor commentaar, maar hoorde niet meteen iets terug.
Zie ook: ETHW bevestigt misbruik van contractkwetsbaarheid, verwerpt claims voor herhalingsaanvallen
Arbitrum is een Layer-2 Optimistic Rollup-oplossing voor Ethereum, waarbij batches transacties worden geclusterd voordat ze worden verzonden naar het Ethereum-netwerk in een poging om netwerkcongestie te minimaliseren en kosten te besparen. Arbitrum Nitro gelanceerd op 31 augustus, een upgrade gericht op het vereenvoudigen van de communicatie tussen Arbitrum en Ethereum en het verhogen van de transactiedoorvoer tegen lagere kosten.
Bridge-hacks in vergelijkbare stijl zijn dit jaar succesvol geweest voor uitbuiters, met name de $ 100 miljoen gestolen van de Horizon Bridge in juni en het recente Nomad token bridge-incident in augustus, waarbij $ 190 miljoen werd afgevoerd door het origineel en "copycat" hackers herhalen de exploit.
Bron: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty