자칭 화이트햇 해커는 이더리움과 Arbitrum Nitro를 연결하는 다리에서 "수백만 달러의 취약점"을 발견하고 400 Ether(ETH) 그들의 발견에 대한 현상금.
Twitter에서 riptide로 알려진 해커는 이 익스플로잇을 초기화 기능을 사용하여 자체 브리지 주소를 설정하는 것으로 설명했습니다. 자금을 연결하려고 이더리움에서 중재 니트로.
조류를 타고 설명 화요일 미디엄 게시물의 익스플로잇:
"우리는 더 오랜 기간 동안 탐지되지 않은 상태로 대규모 ETH 예금을 선택적으로 목표로 삼거나, 브리지를 통해 들어오는 모든 단일 예금을 사이펀하거나, 기다렸다가 다음 대규모 ETH 예금을 미리 실행할 수 있습니다."
해킹은 잠재적으로 수천만 또는 수억 개의 ETH를 얻을 수 있었습니다. 받은 편지함에 기록된 가장 큰 입출금 흐름은 168,000억 225만 달러 이상의 가치가 있는 1000 ETH이고 일반적인 예치금은 5000시간 동안 24에서 1.34 ETH에 해당하기 때문입니다. 6.7만~XNUMX만 달러 사이.
부당하게 얻은 이익으로 인한 잠재적인 수익에도 불구하고 riptide는 "매우 기반을 둔 Arbitrum 팀"이 $400 이상의 가치가 있는 536,500 ETH 현상금을 제공한 것에 감사했습니다. 그러나 그들은 나중에 트위터에서 그러한 발견은 "최대 현상금을 받을 자격이 있어야 한다"고 덧붙였습니다. 가치 $ 2 백만.
동일한 받은 편지함 계약을 통해 멋진 $470mm를 연결하는 것만으로도 큰 문제는 없습니다.
확실히 최대 현상금을 받을 자격이 있어야 합니다.
— 립타이드(@0xriptide) 2022 년 9 월 20 일
Arbitrum과 그 제작자 회사인 OffChain Labs 모두 이 익스플로잇에 대해 공개적으로 언급하지 않았습니다. Cointelegraph는 논평을 위해 OffChain Labs에 연락했지만 즉시 답변을 받지 못했습니다.
관련 : ETHW는 계약 취약점 악용을 확인하고 재생 공격 주장을 기각
Arbitrum은 네트워크 혼잡을 최소화하고 수수료를 절약하기 위해 이더리움 네트워크에 제출하기 전에 트랜잭션 배치를 클러스터링하는 이더리움용 레이어 2 낙관적 롤업 솔루션입니다. 아비트룸 니트로 31월 XNUMX일 출시, Arbitrum과 Ethereum 간의 통신을 단순화하고 더 낮은 수수료로 트랜잭션 처리량을 늘리는 것을 목표로 한 업그레이드입니다.
유사한 스타일의 브리지 해킹이 올해 악용자들에게 성공적이었습니다. 특히, 호라이즌 브리지에서 100억 달러 도난 190월과 XNUMX월의 최근 Nomad 토큰 브리지 사건으로 원본과 "모조품"에 의해 XNUMX억 XNUMX천만 달러가 소진되었습니다. 악용을 반복하는 해커.
출처: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty