Белая шляпа находит огромную уязвимость в мосте ETH к Arbitrum: Максимальное вознаграждение?
Хакер в белой шляпе, как он сам себя называет, обнаружил «многомиллионную уязвимость» в мосте, связывающем Ethereum и Arbitrum Nitro, и получил за свою находку вознаграждение в размере 400 эфиров (ETH).
Хакер, известный в Twitter под ником riptide, описал эксплойт как использование функции инициализации для установки собственного адреса моста, который перехватывает все входящие депозиты ETH у тех, кто пытается перевести средства из Ethereum в Arbitrum Nitro.
Riptide объяснил эксплойт в сообщении на Medium во вторник:
«Мы можем либо выборочно нацеливаться на крупные депозиты ETH, чтобы оставаться незамеченными в течение более длительного периода времени, либо перехватывать каждый депозит, проходящий через мост, либо ждать и просто опережать следующий массивный депозит ETH».
Взлом потенциально мог принести десятки или даже сотни миллионов ETH, так как самый крупный депозит, зафиксированный во входящих данных, составил 168 000 ETH на сумму более 225 миллионов долларов, а типичные депозиты варьировались от 1000 до 5000 ETH в течение 24 часов на сумму от 1,34 до 6,7 миллиона долларов.
Несмотря на потенциал заработка на незаконно нажитых средствах, riptide был благодарен за то, что «команда Arbitrum», работающая на чрезвычайно высоком уровне, предоставила вознаграждение в размере 400 ETH на сумму более $536 500. Однако позже в Твиттере они добавили, что за такую находку «должно полагаться максимальное вознаграждение», которое составляет 2 миллиона долларов.
Ничего особенного, просто соединяем крутые $470 млн через тот же контракт Inbox.
Определенно должен претендовать на максимальное вознаграждение.
— riptide (@0xriptide) 20 сентября 2022 г.
Ни Arbitrum, ни его создатель компания OffChain Labs публично не прокомментировали эксплойт; Cointelegraph обратился в OffChain Labs за комментарием, но не сразу получил ответ.
Arbitrum — это решение оптимистического свертывания второго уровня для Ethereum, кластеризующее партии транзакций перед отправкой их в сеть Ethereum с целью минимизации перегруженности сети и экономии на комиссиях. 31 августа был запущен Arbitrum Nitro — обновление, направленное на упрощение взаимодействия между Arbitrum и Ethereum, а также на увеличение пропускной способности транзакций при более низких комиссиях.
В этом году взломы мостов в подобном стиле были успешными для злоумышленников, в частности, в июне с моста Horizon было похищено 100 миллионов долларов, а в августе произошел недавний инцидент с мостом токенов Nomad, в результате которого было похищено 190 миллионов долларов, как оригиналом, так и «подражателями», повторившими эксплойт.