自称ホワイトハットハッカーは、イーサリアムとアービトラムニトロを結ぶブリッジに「数百万ドルの脆弱性」を発見し、400 イーサを受け取りました (ETH)彼らの発見に対する賞金。
Twitter では riptide として知られているこのハッカーは、エクスプロイトを初期化機能を使用して独自のブリッジ アドレスを設定するものと説明し、それらのアドレスから入ってくるすべての ETH デポジットをハイジャックします。 資金をつなぎ合わせようとする イーサリアムから アービトラム ニトロ。
荒海 説明 火曜日の Medium 投稿でのエクスプロイト:
「大規模なETHデポジットを選択的にターゲットにして、長期間検出されないようにするか、ブリッジを通過するすべてのデポジットを吸い上げるか、待って次の大規模なETHデポジットをフロントランすることができます。」
受信ボックスに記録された最大の預金の激動は、168,000億225万ドル以上に相当する1000 ETHであり、典型的な預金は5000時間で24から1.34 ETHの範囲であったため、ハッキングは潜在的に数千万または数億相当のETHを獲得した可能性があります。 6.7 万ドルから XNUMX 万ドルの間。
不正に得た利益からの収益の可能性にもかかわらず、riptide は、「非常にベースの Arbitrum チーム」が 400 ドル以上の価値がある 536,500 ETH の報奨金を提供したことに感謝しました。 しかし、彼らは後でTwitterで、そのような発見は「最大の報奨金の対象となるはずです」と付け加えました。 価値 $ 2 million。
同じ Inbox 契約で 470 億 XNUMX 万ドルを支払うだけなら大したことはない
間違いなく最大バウンティの資格があるはずです
— リプタイド (@0xriptide) 2022 年 9 月 20 日
Arbitrum もその作成会社である OffChain Labs も、エクスプロイトについて公にコメントしていません。 Cointelegraph は OffChain Labs にコメントを求めたが、すぐには返事がなかった。
関連する ETHW がコントラクトの脆弱性エクスプロイトを確認し、リプレイ攻撃の主張を却下
Arbitrum は、イーサリアムのレイヤー 2 オプティミスティック ロールアップ ソリューションであり、ネットワークの輻輳を最小限に抑えて手数料を節約するために、イーサリアム ネットワークに送信する前にトランザクションのバッチをクラスタリングします。 アービトラム ニトロ 31月XNUMX日発売、アービトラムとイーサリアム間の通信を簡素化し、より低い料金でトランザクションスループットを向上させることを目的としたアップグレード。
今年は同様のスタイルのブリッジ ハッキングがエクスプロイトによって成功しています。 ホライゾン・ブリッジから盗まれた100億ドル 190 月と XNUMX 月の最近の Nomad トークン ブリッジ インシデントでは、元の「模倣者」によって XNUMX 億 XNUMX 万ドルが流出しました。 エクスプロイトを繰り返すハッカー.
ソース: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty