Un hacker white hat autodefinito ha scoperto una "vulnerabilità multimilionaria" nel ponte che collega Ethereum e Arbitrum Nitro e ha ricevuto un 400 Ether (ETH) ricompensa per la loro scoperta.
Conosciuto come riptide su Twitter, l'hacker ha descritto l'exploit come l'uso di una funzione di inizializzazione per impostare il proprio indirizzo bridge, che avrebbe dirottato tutti i depositi di ETH in entrata da quelli cercando di colmare i fondi da Ethereum a arbitrato nitro.
corrente di ritorno ha spiegato l'exploit in un post medio di martedì:
"Potremmo mirare selettivamente a grandi depositi di ETH in modo che rimangano inosservati per un periodo di tempo più lungo, aspirare ogni singolo deposito che arriva attraverso il ponte, o aspettare e semplicemente anticipare il prossimo enorme deposito di ETH".
L'hacking avrebbe potuto potenzialmente guadagnare decine o addirittura centinaia di milioni di ETH, poiché la più grande marea di depositi registrata nella posta in arrivo era di 168,000 ETH per un valore di oltre $ 225 milioni e i depositi tipici variavano da 1000 a 5000 ETH in un periodo di 24 ore, per un valore tra $ 1.34 e $ 6.7 milioni.
Nonostante il potenziale di guadagno derivante dai guadagni illeciti, Riptide è stata grata che il "team Arbitrum estremamente basato" abbia fornito una taglia di 400 ETH, per un valore di oltre $ 536,500. Tuttavia, hanno aggiunto in seguito su Twitter che una tale scoperta "dovrebbe essere idonea per una taglia massima", il che è valore $ 2 milioni.
Non è un grosso problema, solo colmare un fantastico $ 470 mm attraverso lo stesso contratto Inbox
Sicuramente dovrebbe essere idoneo per una taglia massima
— riptide (@0xriptide) 20 settembre 2022
Né Arbitrum né la sua società creatrice OffChain Labs hanno commentato pubblicamente l'exploit; Cointelegraph ha contattato OffChain Labs per un commento ma non ha ricevuto risposta immediatamente.
Correlato: ETHW conferma l'exploit di vulnerabilità del contratto, respinge le richieste di replay attack
Arbitrum è una soluzione Optimistic Rollup di livello 2 per Ethereum, che raggruppa batch di transazioni prima di inviarle alla rete Ethereum nel tentativo di ridurre al minimo la congestione della rete e risparmiare sulle commissioni. Arbitro Nitro lanciato il 31 agosto, un aggiornamento volto a semplificare la comunicazione tra Arbitrum ed Ethereum, oltre ad aumentare il throughput delle transazioni a commissioni inferiori.
Gli hack di bridge in stile simile hanno avuto successo quest'anno per gli sfruttatori, in particolare il 100 milioni di dollari rubati dall'Horizon Bridge a giugno e il recente incidente del Nomad token bridge ad agosto, che ha visto prosciugare 190 milioni di dollari dall'originale e dal "copycat" hacker che ripetono l'exploit.
Fonte: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty