Ang isang self-described white hat hacker ay natuklasan ang isang "multi-milyong dolyar na kahinaan" sa tulay na nag-uugnay sa Ethereum at Arbitrum Nitro at nakatanggap ng 400 Ether (ETH) bounty para sa kanilang paghahanap.
Kilala bilang riptide sa Twitter, inilarawan ng hacker ang pagsasamantala bilang paggamit ng isang pagpapasimulang function upang itakda ang kanilang sariling bridge address, na mag-hijack ng lahat ng papasok na deposito ng ETH mula sa mga iyon. sinusubukang tulay ang mga pondo mula sa Ethereum hanggang arbitrasyon Nitre.
Riptide ipinaliwanag ang pagsasamantala sa isang Medium post noong Martes:
“Maaari naming piliing i-target ang malalaking deposito ng ETH upang manatiling hindi matukoy sa loob ng mas mahabang panahon, siphon ang bawat solong deposito na dumarating sa tulay, o maghintay at patakbuhin lamang ang susunod na napakalaking deposito ng ETH."
Ang hack ay maaaring magkaroon ng potensyal na naka-net ng sampu o kahit na daan-daang milyong halaga ng ETH, dahil ang pinakamalaking deposit riptide na naitala sa inbox ay 168,000 ETH na nagkakahalaga ng higit sa $225 milyon, at ang karaniwang mga deposito ay mula 1000 hanggang 5000 ETH sa loob ng 24 na oras, na nagkakahalaga sa pagitan ng $1.34 hanggang $6.7 milyon.
Sa kabila ng potensyal na kumita mula sa ill-gotten gains, nagpapasalamat si riptide na ang “extremely based Arbitrum team” ay nagbigay ng 400 ETH bounty, na nagkakahalaga ng mahigit $536,500. Gayunpaman, idinagdag nila sa ibang pagkakataon sa Twitter na ang naturang paghahanap ay "dapat maging karapat-dapat para sa isang maximum na bounty," na nagkakahalaga $ 2 milyon.
Walang malaking pakikitungo sa pagtulay lamang ng cool na $470mm sa pamamagitan ng parehong kontrata ng Inbox
Talagang dapat maging karapat-dapat para sa isang maximum na bounty
— riptide (@0xriptide) Septiyembre 20, 2022
Ni ang Arbitrum o ang kumpanya ng lumikha nito na OffChain Labs ay hindi nagkomento sa publiko sa pagsasamantala; Nakipag-ugnayan ang Cointelegraph sa OffChain Labs para sa komento ngunit hindi kaagad nakatanggap ng tugon.
Ang Arbitrum ay isang layer-2 Optimistic Rollup na solusyon para sa Ethereum, na pinagsasama-sama ang mga batch ng mga transaksyon bago isumite ang mga ito sa Ethereum network sa pagsisikap na mabawasan ang pagsisikip ng network at makatipid sa mga bayarin. Arbitrum Nitro inilunsad noong Agosto 31, isang pag-upgrade na naglalayong pasimplehin ang komunikasyon sa pagitan ng Arbitrum at Ethereum, pati na rin ang pagtaas ng throughput ng transaksyon nito sa mas mababang bayad.
Naging matagumpay ang mga katulad na style bridge hacks para sa mga mapagsamantala ngayong taon, lalo na, ang $100 milyon ninakaw mula sa Horizon Bridge noong Hunyo at ang kamakailang insidente ng Nomad token bridge noong Agosto, na nakakita ng $190 milyon na naubos ng orihinal at "kopya" ang mga hacker na paulit-ulit ang pagsasamantala.
Pinagmulan: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty