一位自称为白帽黑客的黑客在连接以太坊和 Arbitrum Nitro 的桥梁中发现了一个“数百万美元的漏洞”,并获得了 400 以太币(ETH) 赏金他们的发现。
在 Twitter 上被称为 riptide 的黑客将该漏洞描述为使用初始化函数来设置他们自己的桥接地址,这将劫持所有来自这些人的 ETH 存款。 试图弥合资金 从以太坊到 仲裁 硝基
激流 解释 周二一篇 Medium 帖子中的漏洞利用:
“我们可以选择性地锁定大量 ETH 存款,以便在更长时间内不被发现,吸走通过桥接的每一笔存款,或者等待并提前运行下一笔巨额 ETH 存款。”
此次黑客攻击可能会净赚价值数千万甚至数亿的 ETH,因为收件箱中记录的最大存款激流是 168,000 ETH,价值超过 225 亿美元,典型存款在 1000 小时内从 5000 到 24 ETH 不等,价值在 1.34 美元到 6.7 万美元之间。
尽管不义之财具有潜在的盈利潜力,但 riptide 还是感谢“非常基础的 Arbitrum 团队”提供了 400 ETH 的赏金,价值超过 536,500 美元。 然而,他们后来在推特上补充说,这样的发现“应该有资格获得最大赏金”,即 价值 $ 2万元。
没什么大不了的,只是通过相同的收件箱合同桥接一个很酷的 470 毫米
绝对应该有资格获得最大赏金
— 激流 (@0xriptide) 2022 年 9 月 20 日
Arbitrum 及其创建者公司 OffChain Labs 均未公开评论该漏洞。 Cointelegraph 联系了 OffChain Labs 征求意见,但没有立即收到回复。
相关新闻: ETHW 确认合约漏洞利用,驳回重放攻击索赔
Arbitrum 是以太坊的第 2 层 Optimistic Rollup 解决方案,在将批量交易提交到以太坊网络之前对其进行聚类,以尽量减少网络拥塞并节省费用。 仲裁硝基 31月XNUMX日推出,升级旨在简化 Arbitrum 和以太坊之间的通信,并以较低的费用提高其交易吞吐量。
今年,类似风格的桥梁黑客攻击已经成功地为剥削者提供了成功,尤其是 100亿美元从地平线桥被盗 190 月和最近 XNUMX 月的 Nomad 代币桥事件,原版和“模仿者”流失了 XNUMX 亿美元 黑客重复利用.
资料来源:https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty