一位自稱為白帽黑客的黑客在連接以太坊和 Arbitrum Nitro 的橋樑中發現了一個“數百萬美元的漏洞”,並獲得了 400 以太幣(ETH) 賞金他們的發現。
在 Twitter 上被稱為 riptide 的黑客將該漏洞描述為使用初始化函數來設置他們自己的橋接地址,這將劫持所有來自這些人的 ETH 存款。 試圖彌合資金 從以太坊到 仲裁 硝基
激流 解釋 週二一篇 Medium 帖子中的漏洞利用:
“我們可以選擇性地鎖定大量 ETH 存款,以便在更長的時間內不被發現,吸走通過橋接的每一筆存款,或者等待並提前運行下一筆巨額 ETH 存款。”
此次黑客攻擊可能會淨賺價值數千萬甚至數億的 ETH,因為收件箱中記錄的最大存款激流是 168,000 ETH,價值超過 225 億美元,典型存款在 1000 小時內從 5000 到 24 ETH 不等,價值在 1.34 美元到 6.7 萬美元之間。
儘管不義之財具有潛在的盈利潛力,但 riptide 還是感謝“非常基礎的 Arbitrum 團隊”提供了 400 ETH 的賞金,價值超過 536,500 美元。 然而,他們後來在推特上補充說,這樣的發現“應該有資格獲得最大賞金”,即 價值 $ 2萬元。
沒什麼大不了的,只是通過相同的收件箱合同橋接一個很酷的 470 毫米
絕對應該有資格獲得最大賞金
— 激流 (@0xriptide) 2022 年 9 月 20 日
Arbitrum 及其創建者公司 OffChain Labs 均未公開評論該漏洞。 Cointelegraph 聯繫了 OffChain Labs 徵求意見,但沒有立即收到回复。
相關新聞: ETHW 確認合約漏洞利用,駁回重放攻擊索賠
Arbitrum 是以太坊的第 2 層 Optimistic Rollup 解決方案,在將批量交易提交到以太坊網絡之前對其進行聚類,以盡量減少網絡擁塞並節省費用。 仲裁硝基 31月XNUMX日推出,升級旨在簡化 Arbitrum 和以太坊之間的通信,並以較低的費用提高其交易吞吐量。
今年,類似風格的橋樑黑客攻擊已經成功地為剝削者提供了成功,尤其是 100億美元從地平線橋被盜 190 月和最近 XNUMX 月的 Nomad 代幣橋事件,原版和“模仿者”流失了 XNUMX 億美元 黑客重複利用.
資料來源:https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty