Un hacker de sombrero blanco autodenominado ha descubierto una "vulnerabilidad multimillonaria" en el puente que une Ethereum y Arbitrum Nitro y recibió 400 Ether (ETH) recompensa por su hallazgo.
Conocido como riptide en Twitter, el pirata informático describió el exploit como el uso de una función de inicialización para establecer su propia dirección de puente, que secuestraría todos los depósitos ETH entrantes de esos tratando de unir fondos de ethereum a arbitum nitro.
Riptide explicado el exploit en una publicación de Medium el martes:
"Podríamos apuntar selectivamente a grandes depósitos de ETH para permanecer sin ser detectados durante un período de tiempo más largo, desviar cada depósito que pase por el puente, o esperar y simplemente adelantar el próximo depósito masivo de ETH".
El hack podría haber generado potencialmente decenas o incluso cientos de millones de ETH, ya que la corriente de depósito más grande registrada en la bandeja de entrada fue de 168,000 225 ETH con un valor de más de $1000 millones, y los depósitos típicos oscilaron entre 5000 y 24 ETH en un período de 1.34 horas, con un valor entre $ 6.7 a $ XNUMX millones.
A pesar del potencial de ganancias de las ganancias mal habidas, riptide agradeció que el "equipo de Arbitrum extremadamente basado" proporcionara una recompensa de 400 ETH, por un valor de más de $ 536,500. Sin embargo, agregaron más tarde en Twitter que tal hallazgo "debería ser elegible para una recompensa máxima", que es valor $2 millones.
No es gran cosa, solo un puente de $ 470 mm a través del mismo contrato de Inbox
Definitivamente debería ser elegible para una recompensa máxima
— mareas altas (@0x mareas altas) 20 de septiembre de 2022
Ni Arbitrum ni su empresa creadora OffChain Labs han comentado públicamente sobre el exploit; Cointelegraph se puso en contacto con OffChain Labs para obtener comentarios, pero no recibió respuesta de inmediato.
Relacionado: ETHW confirma la explotación de la vulnerabilidad del contrato, descarta los reclamos de ataques de repetición
Arbitrum es una solución Optimistic Rollup de capa 2 para Ethereum, que agrupa lotes de transacciones antes de enviarlas a la red Ethereum en un esfuerzo por minimizar la congestión de la red y ahorrar en tarifas. Nitro arbitrario lanzado el 31 de agosto, una actualización destinada a simplificar la comunicación entre Arbitrum y Ethereum, así como a aumentar el rendimiento de sus transacciones a tarifas más bajas.
Hacks de puentes de estilo similar han tenido éxito para los explotadores este año, en particular, el $ 100 millones robados del puente Horizon en junio y el reciente incidente del puente token de Nomad en agosto, en el que el original y el "imitador" agotaron $ 190 millones piratas informáticos que repiten el exploit.
Fuente: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty