Savarankiškai apibūdintas baltos skrybėlės įsilaužėlis atskleidė „kelių milijonų dolerių pažeidžiamumą“ tilte, jungiančiame Ethereum ir Arbitrum Nitro, ir gavo 400 eterio (ETH) premiją už jų radinį.
„Twitter“ žinomas kaip „riptide“, įsilaužėlis apibūdino išnaudojimą kaip inicijavimo funkcijos naudojimą, kad būtų galima nustatyti savo tilto adresą, kuris užgrobtų visus gaunamus ETH indėlius iš tų bando sujungti lėšas nuo Ethereum iki Arbitrumas Nitras.
Riptide paaiškino, išnaudojimas Medium įraše antradienį:
„Galėtume arba pasirinktinai nukreipti didelius ETH telkinius, kad liktų nepastebėti ilgesnį laiką, siurbti kiekvieną indėlį, kuris ateina per tiltą, arba palaukti ir tiesiog paleisti kitą didžiulį ETH indėlį.
Dėl įsilaužimo galėjo būti užskaityta dešimčių ar net šimtų milijonų vertės ETH, nes didžiausias gautų laiškų dėžutėje užfiksuotas depozitas buvo 168,000 225 ETH, kurio vertė viršija 1000 mln. nuo 5000 iki 24 mln.
Nepaisant galimybių užsidirbti iš neteisėtai gauto pelno, riptide buvo dėkingas už tai, kad „itin pagrįsta Arbitrum komanda“ suteikė 400 ETH premiją, kurios vertė viršija 536,500 XNUMX USD. Tačiau vėliau jie socialiniame tinkle „Twitter“ pridūrė, kad už tokį radinį „turėtų būti skiriama didžiausia premija“. vertas $ 2 milijonai.
Nieko baisaus, tiesiog per tą pačią „Inbox“ sutartį sutaupyti 470 mm USD
Tikrai turėtų pretenduoti į didžiausią premiją
— riptide (@0xriptide) Rugsėjis 20, 2022
Nei „Arbitrum“, nei jo kūrėja bendrovė „OffChain Labs“ šio išnaudojimo viešai nekomentavo; „Cointelegraph“ susisiekė su „OffChain Labs“ dėl komentaro, tačiau iš karto nesulaukė atsakymo.
Susiję: ETHW patvirtina sutarties pažeidžiamumo išnaudojimą, atmeta teiginius dėl pakartotinio atakos
„Arbitrum“ yra 2 sluoksnio „Optimistic Rollup“ sprendimas, skirtas „Ethereum“, sugrupuojantis operacijų paketus prieš pateikiant jas „Ethereum“ tinklui, siekiant sumažinti tinklo perkrovą ir sutaupyti mokesčių. Arbitrum Nitro startavo rugpjūčio 31 d, atnaujinimas, kuriuo siekiama supaprastinti ryšį tarp Arbitrum ir Ethereum, taip pat padidinti operacijų pralaidumą už mažesnius mokesčius.
Panašaus stiliaus tiltų įsilaužimai šiais metais buvo sėkmingi išnaudotojams, ypač Nuo Horizonto tilto pavogta 100 mln birželį ir neseniai įvykęs Nomad žetonų tilto incidentas rugpjūtį, per kurį originalas ir „kopijavo“ nusausino 190 mln. įsilaužėliai kartoja išnaudojimą.
Šaltinis: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty