Um hacker de chapéu branco auto-descrito descobriu uma “vulnerabilidade de vários milhões de dólares” na ponte que liga Ethereum e Arbitrum Nitro e recebeu 400 Ether (ETH) recompensa por sua descoberta.
Conhecido como riptide no Twitter, o hacker descreveu a exploração como o uso de uma função de inicialização para definir seu próprio endereço de ponte, que sequestraria todos os depósitos ETH recebidos daqueles tentando juntar fundos do Ethereum para arbitragem nitro.
Riptide explicado o exploit em um post no Medium na terça-feira:
“Poderíamos segmentar seletivamente grandes depósitos de ETH para permanecer indetectáveis por um longo período de tempo, desviar cada depósito que passa pela ponte ou esperar e apenas antecipar o próximo grande depósito de ETH”.
O hack poderia ter potencialmente arrecadado dezenas ou até centenas de milhões de ETH, já que a maior maré de depósito registrada na caixa de entrada foi de 168,000 ETH no valor de mais de US$ 225 milhões, e os depósitos típicos variaram de 1000 a 5000 ETH em um período de 24 horas, no valor entre US$ 1.34 e US$ 6.7 milhões.
Apesar do potencial de ganho dos ganhos ilícitos, a riptide agradeceu que a “equipe Arbitrum extremamente baseada” forneceu uma recompensa de 400 ETH, no valor de mais de US$ 536,500. No entanto, eles acrescentaram mais tarde no Twitter que tal descoberta “deve ser elegível para uma recompensa máxima”, que é Equivalente há US $ 2 milhões.
Não é grande coisa apenas fazer a ponte de US $ 470 milhões com o mesmo contrato de caixa de entrada
Definitivamente deve ser elegível para uma recompensa máxima
— correnteza (@0xriptide) 20 de Setembro de 2022
Nem a Arbitrum nem sua empresa criadora OffChain Labs comentaram publicamente sobre a exploração; O Cointelegraph entrou em contato com o OffChain Labs para comentar, mas não recebeu resposta imediatamente.
Relacionado: ETHW confirma exploração de vulnerabilidade de contrato, rejeita alegações de ataque de repetição
Arbitrum é uma solução de Rollup Otimista de camada 2 para Ethereum, agrupando lotes de transações antes de enviá-los à rede Ethereum em um esforço para minimizar o congestionamento da rede e economizar em taxas. Arbitrum Nitro lançado em 31 de agosto, uma atualização destinada a simplificar a comunicação entre Arbitrum e Ethereum, além de aumentar seu rendimento de transações com taxas mais baixas.
Hacks de ponte de estilo semelhante foram bem sucedidos para exploradores este ano, notavelmente, o US$ 100 milhões roubados da Horizon Bridge em junho e o recente incidente da ponte de token Nomad em agosto, que viu US $ 190 milhões drenados pelo original e “copiador” hackers repetindo o exploit.
Fonte: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty