Kāds sevi aprakstījis balto cepuru hakeris ir atklājis "vairāku miljonu dolāru ievainojamību" tiltā, kas savieno Ethereum un Arbitrum Nitro, un saņēmis 400 Ether (ETH) atlīdzību par atradumu.
Pazīstams kā riptide Twitter, hakeris aprakstīja izmantošanu kā inicializācijas funkcijas izmantošanu, lai iestatītu savu tilta adresi, kas nolaupītu visus ienākošos ETH noguldījumus no tiem. mēģina piesaistīt līdzekļus no Ethereum līdz šķīrējtiesa Nitra.
riptide Paskaidroja ekspluatācija vidējā ierakstā otrdien:
"Mēs varētu vai nu selektīvi mērķēt uz lieliem ETH noguldījumiem, lai tie paliktu neatklāti ilgāku laiku, izsūknēt katru noguldījumu, kas nāk caur tiltu, vai arī gaidīt un vienkārši sākt nākamo masveida ETH depozītu."
Uzlauzts potenciāli varētu būt ieskaitījis desmitiem vai pat simtiem miljonu vērtu ETH, jo lielākais iesūtnē reģistrētais depozīts bija 168,000 225 ETH vairāk nekā 1000 miljonu ASV dolāru vērtībā, un parastie noguldījumi svārstījās no 5000 līdz 24 ETH 1.34 stundu periodā. no USD 6.7 līdz USD XNUMX miljoniem.
Neskatoties uz peļņas potenciālu no nelikumīgi iegūtajiem ienākumiem, riptide bija pateicīgs, ka “ārkārtīgi balstītā Arbitrum komanda” nodrošināja 400 ETH balvas, kuras vērtība pārsniedz USD 536,500 XNUMX. Tomēr viņi vēlāk sociālajā tīklā Twitter piebilda, ka šādam atradumam “vajadzētu saņemt maksimālu atlīdzību”, kas ir vērts $ 2 miljoni.
Nav nekāds lielais darījums, vienkārši pārvarot 470 miljonus dolāru, izmantojot to pašu Inbox līgumu
Noteikti jābūt tiesīgam saņemt maksimālu balvu
— riptide (@0xriptide) Septembris 20, 2022
Ne Arbitrum, ne tā radītājs uzņēmums OffChain Labs nav publiski komentējis šo izmantošanu; Cointelegraph sazinājās ar OffChain Labs, lai saņemtu komentāru, taču nekavējoties nesaņēma atbildes.
Saistītie: ETHW apstiprina līguma ievainojamības izmantošanu, noraida apgalvojumus par atkārtotu uzbrukumu
Arbitrum ir 2. slāņa Optimistic Rollup risinājums Ethereum, kas sagrupē darījumu paketes pirms to iesniegšanas Ethereum tīklā, lai samazinātu tīkla pārslodzi un ietaupītu maksu. Arbitrum Nitro uzsākta 31. augustā, jauninājums, kura mērķis ir vienkāršot saziņu starp Arbitrum un Ethereum, kā arī palielināt tā darījumu caurlaidspēju par zemāku maksu.
Līdzīga stila tiltu uzlaušana šogad ir bijusi veiksmīga izmantotājiem, jo īpaši No Horizon tilta nozagti 100 miljoni dolāru jūnijā un nesenais Nomad žetonu tilta incidents augustā, kurā oriģināls un "kopija" iztērēja 190 miljonus ASV dolāru. hakeri atkārto ekspluatāciju.
Avots: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty