Хакеры в "белых шляпах" обнаружили "многомиллионную уязвимость" в мосте, связывающем Ethereum и Arbitrum Nitro, и получили за свою находку вознаграждение в размере 400 эфиров (ETH).

Хакер, известный в Twitter под ником riptide, описал эксплойт как использование функции инициализации для установки собственного адреса моста, который перехватывал все входящие депозиты ETH у тех, кто пытался перевести средства с Ethereum на Arbitrum Nitro.

Riptide объяснила эксплойт в сообщении на Medium 20 сентября:

"Мы можем либо выборочно нацелиться на крупные месторождения ETH, чтобы оставаться незамеченными в течение более длительного периода времени, либо выкачивать каждый депозит, проходящий через мост, либо ждать и просто опережать следующее крупное месторождение ETH".

Взлом потенциально мог принести десятки или даже сотни миллионов ETH, так как самый крупный депозит, зафиксированный в почтовом ящике, составил 168 000 ETH на сумму более 225 миллионов долларов, а типичные депозиты составляли от 1000 до 5000 ETH в течение 24 часов на сумму от 1,34 до 6,7 миллиона долларов.

Несмотря на возможность заработать на незаконно нажитом, riptide был благодарен за то, что "команда Arbitrum, работающая в чрезвычайных условиях", предоставила вознаграждение в размере 400 ETH, что стоит более $536 500, однако позже в Twitter они добавили, что за такую находку "следует получить максимальное вознаграждение", которое составляет $2 млн.

Ничего особенного, просто соединяем крутые $470 млн через тот же контракт Inbox.

Определенно должен претендовать на максимальное вознаграждение.

https://t.co/w7S58QNQZu

- riptide (@0xriptide) 20 сентября 2022 г.

Ни Arbitrum, ни его создатель компания OffChain Labs публично не прокомментировали эксплойт. Cointelegraph обратился в OffChain Labs за комментарием, но ответ был получен не сразу.

Arbitrum - это решение оптимистического свертывания второго уровня для Ethereum, кластеризующее партии транзакций перед отправкой в сеть Ethereum с целью минимизации перегруженности сети и экономии на комиссиях. 31 августа был запущен Arbitrum Nitro - обновление, направленное на упрощение взаимодействия между Arbitrum и Ethereum, а также на увеличение пропускной способности транзакций при более низких комиссиях.

В этом году взломы мостов в аналогичном стиле были успешными для злоумышленников, в частности, в июне с моста Horizon было похищено 100 миллионов долларов, а в августе произошел инцидент с мостом токенов Nomad, в результате которого было похищено 190 миллионов долларов, как оригиналом, так и "подражателями", повторившими эксплойт.

Источник