Ein selbsternannter White-Hat-Hacker hat eine „Multi-Millionen-Dollar-Schwachstelle“ in der Brücke zwischen Ethereum und Arbitrum Nitro aufgedeckt und 400 Ether erhalten (ETH) Prämie für ihren Fund.
Auf Twitter als Riptide bekannt, beschrieb der Hacker den Exploit als die Verwendung einer Initialisierungsfunktion, um ihre eigene Bridge-Adresse festzulegen, die alle eingehenden ETH-Einzahlungen von diesen entführen würde versuchen, Mittel zu überbrücken von Ethereum zu Schlichtung Salpeter.
Kabbelung erklärt der Exploit in einem Medium-Beitrag am Dienstag:
„Wir könnten entweder selektiv auf große ETH-Einlagen abzielen, um für einen längeren Zeitraum unentdeckt zu bleiben, jede einzelne Einlage, die durch die Brücke kommt, abschöpfen oder warten und einfach die nächste massive ETH-Einlage vorantreiben.“
Der Hack hätte möglicherweise ETH im Wert von mehreren zehn oder sogar hundert Millionen einbringen können, da die größte im Posteingang verzeichnete Einzahlungsflut 168,000 ETH im Wert von über 225 Millionen US-Dollar betrug und typische Einzahlungen zwischen 1000 und 5000 ETH in einem Zeitraum von 24 Stunden lagen zwischen 1.34 und 6.7 Millionen US-Dollar.
Trotz des Verdienstpotenzials durch die unrechtmäßig erworbenen Gewinne war Riptide dankbar, dass das „extrem basierte Arbitrum-Team“ eine Prämie von 400 ETH im Wert von über 536,500 US-Dollar bereitstellte. Sie fügten jedoch später auf Twitter hinzu, dass ein solcher Fund „für ein maximales Kopfgeld in Frage kommen sollte“, was der Fall ist wert $ 2 Millionen.
Keine große Sache, nur coole 470 Millionen US-Dollar durch denselben Inbox-Vertrag zu überbrücken
Es sollte auf jeden Fall Anspruch auf ein maximales Kopfgeld haben
— Springflut (@0xripflut) 20. September 2022
Weder Arbitrum noch seine Schöpferfirma OffChain Labs haben den Exploit öffentlich kommentiert; Cointelegraph kontaktierte OffChain Labs für einen Kommentar, erhielt aber nicht sofort eine Antwort.
Related: ETHW bestätigt Ausnutzung von Vertragsschwachstellen und weist Replay-Angriffsansprüche zurück
Arbitrum ist eine optimistische Layer-2-Rollup-Lösung für Ethereum, die Transaktionsstapel gruppiert, bevor sie an das Ethereum-Netzwerk übermittelt werden, um die Netzwerküberlastung zu minimieren und Gebühren zu sparen. Arbitrum Nitro gestartet am 31. August, ein Upgrade, das darauf abzielt, die Kommunikation zwischen Arbitrum und Ethereum zu vereinfachen und den Transaktionsdurchsatz bei niedrigeren Gebühren zu erhöhen.
Bridge-Hacks ähnlicher Art waren in diesem Jahr für Exploiter erfolgreich, insbesondere die 100 Millionen Dollar von der Horizon Bridge gestohlen im Juni und der jüngste Nomad-Token-Bridge-Vorfall im August, bei dem 190 Millionen US-Dollar durch das Original und den „Nachahmer“ abgezogen wurden Hacker wiederholen den Exploit.
Quelle: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty