Хакер, называющий себя «белой шляпой», обнаружил «многомиллионную уязвимость» в мосту, соединяющем Ethereum и Arbitrum Nitro, и получил награду в размере 400 эфиров (ETH) за свою находку.
Известный в Твиттере как riptide, хакер описал эксплойт как использование функции инициализации для установки собственного адреса моста, который перехватывает все входящие депозиты ETH от тех, кто пытается перевести средства из Ethereum в Arbitrum Nitro.
Riptide объяснил эксплойт в посте на Medium от 20 сентября:
«Мы могли бы либо выборочно нацеливаться на крупные депозиты ETH, чтобы оставаться незамеченными в течение более длительного периода времени, перекачивать каждый депозит, который проходит через мост, либо подождать и просто запустить следующий крупный депозит ETH».
Взлом потенциально мог принести десятки или даже сотни миллионов ETH, так как крупнейший депозитный поток, зарегистрированный в почтовом ящике, составил 168 000 ETH на сумму более 225 миллионов долларов, а типичные депозиты варьировались от 1000 до 5000 ETH за 24-часовой период на суммуот 1,34 до 6,7 млн долларов.
Несмотря на потенциальный доход от нечестно полученных доходов, riptide был благодарен за то, что «чрезвычайно развитая команда Arbitrum» предоставила вознаграждение в размере 400 ETH на сумму более 536 500 долларов США, однако позже они добавили в Твиттере, что такая находка «должна иметь право на максимальное вознаграждение. », который стоит 2 миллиона долларов.
Ничего страшного, просто перекинуть крутые 470 миллионов долларов по тому же контракту Inbox. Определенно должен иметь право на максимальную награду https://t.co/w7S58QNQZu— riptide (@0xriptide) 20 сентября 2022 г.
Ни Arbitrum, ни его компания-создатель OffChain Labs публично не прокомментировали эксплойт, Cointelegraph связался с OffChain Labs для комментариев, но не сразу получил ответ.
Связанный: ETHW подтверждает использование уязвимости контракта, отклоняет претензии по повторной атаке
Arbitrum — это решение уровня 2 Optimistic Rollup для Ethereum, объединяющее пакеты транзакций перед их отправкой в сеть Ethereum, чтобы свести к минимуму перегрузку сети и сэкономить на комиссиях. Arbitrum Nitro был запущен 31 августа. Это обновление направлено на упрощение связи между Arbitrum и Ethereum, а также на увеличение пропускной способности транзакций при более низких комиссиях.
Подобные взломы моста были успешными для эксплуататоров в этом году, в частности, 100 миллионов долларов, украденных из Horizon Bridge в июне, и недавний инцидент с токен-мостом Nomad в августе, когда 190 миллионов долларов были украдены оригинальными хакерами и хакерами-подражателями, повторяющими эксплойт.
