Seorang penggodam topi putih yang digambarkan sendiri telah menemui "kelemahan berjuta-juta dolar" dalam jambatan yang menghubungkan Ethereum dan Arbitrum Nitro dan menerima 400 Ether (ETH) kurniaan untuk penemuan mereka.
Dikenali sebagai riptide di Twitter, penggodam menyifatkan eksploitasi itu sebagai penggunaan fungsi permulaan untuk menetapkan alamat jambatan mereka sendiri, yang akan merampas semua deposit ETH yang masuk daripada mereka. cuba merapatkan dana daripada Ethereum kepada timbang tara Nitre.
Riptide menjelaskan eksploitasi dalam siaran Medium pada hari Selasa:
"Kami boleh sama ada secara terpilih menyasarkan deposit ETH yang besar untuk kekal tidak dapat dikesan untuk tempoh masa yang lebih lama, menyedut setiap deposit yang datang melalui jambatan, atau menunggu dan hanya menjalankan deposit ETH besar-besaran seterusnya."
Penggodaman itu mungkin berpotensi menjaringkan puluhan atau bahkan ratusan juta nilai ETH, kerana riptide deposit terbesar yang direkodkan dalam peti masuk ialah 168,000 ETH bernilai lebih $225 juta, dan deposit biasa berjulat antara 1000 hingga 5000 ETH dalam tempoh 24 jam, bernilai antara $1.34 hingga $6.7 juta.
Walaupun potensi perolehan daripada keuntungan yang diperoleh secara haram, riptide bersyukur kerana "pasukan Arbitrum yang sangat berasaskan" memberikan hadiah 400 ETH, bernilai lebih $536,500. Walau bagaimanapun, mereka menambah kemudian di Twitter bahawa penemuan sedemikian "sepatutnya layak untuk hadiah maksimum," iaitu bernilai $ 2 juta.
Bukan masalah besar hanya merapatkan $470mm yang hebat melalui kontrak Peti Masuk yang sama
Sudah tentu layak untuk hadiah maksimum
— riptide (@0xriptide) September 20, 2022
Baik Arbitrum mahupun syarikat penciptanya OffChain Labs tidak mengulas secara terbuka mengenai eksploitasi itu; Cointelegraph menghubungi OffChain Labs untuk mengulas tetapi tidak segera mendengarnya.
Berkaitan: ETHW mengesahkan eksploitasi kelemahan kontrak, menolak dakwaan serangan ulangan
Arbitrum ialah penyelesaian Optimistic Rollup lapisan-2 untuk Ethereum, mengelompokkan kelompok transaksi sebelum menyerahkannya ke rangkaian Ethereum dalam usaha untuk meminimumkan kesesakan rangkaian dan menjimatkan yuran. Arbitrum Nitro dilancarkan pada 31 Ogos, peningkatan yang bertujuan untuk memudahkan komunikasi antara Arbitrum dan Ethereum, serta meningkatkan pemprosesan transaksinya pada yuran yang lebih rendah.
Penggodaman jambatan gaya yang serupa telah berjaya untuk pengeksploitasi tahun ini, terutamanya $100 juta dicuri dari Jambatan Horizon pada bulan Jun dan insiden jambatan token Nomad baru-baru ini pada bulan Ogos, yang menyaksikan $190 juta dihabiskan oleh yang asal dan "copycat" penggodam mengulangi eksploitasi.
Sumber: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty