En självbeskriven white hat hacker har upptäckt en "multimiljon dollar sårbarhet" i bron som förbinder Ethereum och Arbitrum Nitro och fick en 400 Ether (ETH) belöning för deras fynd.
Känd som riptide på Twitter, beskrev hackaren utnyttjandet som användningen av en initialiseringsfunktion för att ställa in sin egen bryggadress, vilket skulle kapa alla inkommande ETH-insättningar från de försöker överbrygga medel från Ethereum till Skiljedom Salpeter.
riptide förklarade utnyttjandet i ett Medium-inlägg på tisdagen:
"Vi kan antingen selektivt rikta in oss på stora ETH-avlagringar för att förbli oupptäckta under en längre tid, suga upp varje enskild insättning som kommer genom bron, eller vänta och bara köra nästa massiva ETH-insättning i förväg."
Hacket skulle potentiellt ha kunnat generera tiotals eller till och med hundratals miljoner ETH, eftersom den största insättningsriptiden som registrerades i inkorgen var 168,000 225 ETH värd över 1000 miljoner USD, och typiska insättningar varierade från 5000 24 till 1.34 6.7 ETH under en XNUMX-timmarsperiod, värd mellan XNUMX och XNUMX miljoner dollar.
Trots intjäningspotentialen från de illa vunna vinsterna, var riptide tacksam för att det "extremt baserade Arbitrum-teamet" gav en 400 ETH-premie, värd över $536,500 XNUMX. Men de tillade senare på Twitter att ett sådant fynd "bör vara berättigat till en maxbelöning", vilket är värt $ 2 miljoner.
Ingen stor sak bara att överbrygga en cool $470 mm genom samma Inbox-kontrakt
Definitivt bör vara berättigad till en max bounty
— riptide (@0xriptide) September 20, 2022
Varken Arbitrum eller dess skaparföretag OffChain Labs har offentligt kommenterat exploateringen; Cointelegraph kontaktade OffChain Labs för en kommentar men hörde inte direkt av sig.
Relaterat: ETHW bekräftar exploatering av kontraktssårbarhet, avvisar anspråk på replay-attack
Arbitrum är en lager-2 Optimistic Rollup-lösning för Ethereum, som grupperar batcher av transaktioner innan de skickas till Ethereum-nätverket i ett försök att minimera nätverksstockning och spara på avgifter. Arbitrum Nitro lanserades den 31 augusti, en uppgradering som syftar till att förenkla kommunikationen mellan Arbitrum och Ethereum, samt att öka dess transaktionsgenomströmning till lägre avgifter.
Bridge-hack i liknande stil har varit framgångsrika för exploatörer i år, särskilt 100 miljoner dollar stulna från Horizon Bridge i juni och den senaste incidenten med Nomad token bridge i augusti, där 190 miljoner dollar tappades av originalet och "copycat" hackare som upprepar utnyttjandet.
Källa: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty