یک هکر کلاه سفید که خود را توصیف می کند، یک "آسیب پذیری چند میلیون دلاری" را در پلی که اتریوم و آربیتروم نیترو را به هم متصل می کند کشف کرده و یک اتر 400 دریافت کرده است.ETH) فضل برای یافتن آنها.
این هکر که در توییتر به عنوان riptide شناخته می شود، این اکسپلویت را استفاده از یک تابع مقداردهی اولیه برای تنظیم آدرس پل خود توصیف کرد که تمام سپرده های ETH ورودی را از آن ها ربوده است. تلاش برای پل زدن بودجه از اتریوم به داوری نیترو
جریان اب نامرتب توضیح داده شده سوء استفاده در یک پست متوسط در روز سه شنبه:
ما میتوانیم بهطور انتخابی رسوبهای بزرگ ETH را هدف قرار دهیم تا برای مدت طولانیتری ناشناخته بمانند، هر رسوبی را که از طریق پل میآید جمعآوری کنیم، یا منتظر بمانیم و فقط سپرده عظیم ETH بعدی را اجرا کنیم.»
این هک به طور بالقوه میتوانست دهها یا حتی صدها میلیون ETH را خالص کند، زیرا بزرگترین واریزی که در صندوق ورودی ثبت شده بود، 168,000 ETH به ارزش بیش از 225 میلیون دلار بود، و سپردههای معمولی بین 1000 تا 5000 ETH در یک دوره 24 ساعته به ارزش متغیر بود. بین 1.34 تا 6.7 میلیون دلار
علیرغم پتانسیل کسب درآمد از دستاوردهای نامناسب، ریپتاید از اینکه «تیم بسیار مستقر آربیتروم» جایزه 400 اتریوم را به ارزش بیش از 536,500 دلار ارائه کرد، سپاسگزار بود. با این حال، آنها بعداً در توییتر اضافه کردند که چنین یافته ای "باید واجد شرایط حداکثر جایزه باشد" با ارزش $ 2 میلیون.
مشکل بزرگی نیست، فقط از طریق همان قرارداد Inbox، 470 میلیمتر دلار عالی را پر کنید
قطعاً باید واجد شرایط حداکثر جایزه باشد
— riptide (@0xriptide) سپتامبر 20، 2022
نه Arbitrum و نه شرکت سازنده آن OffChain Labs به طور عمومی در مورد این سوء استفاده اظهار نظر نکرده اند. Cointelegraph برای اظهار نظر با آزمایشگاه OffChain تماس گرفت اما فوراً پاسخی دریافت نکرد.
مرتبط: ETHW سوءاستفاده از آسیبپذیری قرارداد را تأیید میکند، ادعاهای حمله مجدد را رد میکند
Arbitrum یک راهحل خوشبینانه لایه 2 برای اتریوم است که دستهای از تراکنشها را قبل از ارسال به شبکه اتریوم در تلاش برای به حداقل رساندن تراکم شبکه و صرفهجویی در هزینهها دستهبندی میکند. آربیتروم نیترو در 31 آگوست راه اندازی شد، ارتقایی با هدف ساده سازی ارتباط بین Arbitrum و Ethereum و همچنین افزایش توان تراکنش با کارمزد کمتر.
هکهای پل سبک مشابه امسال برای بهرهبرداران موفقیتآمیز بوده است، به ویژه، 100 میلیون دلار از پل Horizon به سرقت رفت در ژوئن و حادثه اخیر Nomad token Bridge در ماه آگوست، که منجر به تخلیه 190 میلیون دلار توسط نسخه اصلی و «کپی» شد. هکرها اکسپلویت را تکرار می کنند.
منبع: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty