Un hacker au chapeau blanc autoproclamé a découvert une «vulnérabilité de plusieurs millions de dollars» dans le pont reliant Ethereum et Arbitrum Nitro et a reçu un 400 Ether (ETH) prime pour leur trouvaille.
Connu sous le nom de riptide sur Twitter, le pirate a décrit l'exploit comme l'utilisation d'une fonction d'initialisation pour définir sa propre adresse de pont, ce qui détournerait tous les dépôts ETH entrants de ceux essayer de réunir des fonds d'Ethereum à Arbitre Nitré.
contre-courant expliqué l'exploit dans un article Medium mardi :
"Nous pourrions soit cibler de manière sélective les grands dépôts d'ETH pour qu'ils restent non détectés pendant une plus longue période, siphonner chaque dépôt qui passe par le pont, ou attendre et juste anticiper le prochain dépôt massif d'ETH."
Le piratage aurait pu potentiellement rapporter des dizaines, voire des centaines de millions d'ETH, car le plus grand riptide de dépôt enregistré dans la boîte de réception était de 168,000 225 ETH d'une valeur de plus de 1000 millions de dollars, et les dépôts typiques variaient de 5000 24 à 1.34 6.7 ETH sur une période de XNUMX heures, d'une valeur entre XNUMX et XNUMX millions de dollars.
Malgré le potentiel de gain des gains mal acquis, riptide était reconnaissant que «l'équipe Arbitrum extrêmement basée» ait fourni une prime de 400 ETH, d'une valeur de plus de 536,500 XNUMX $. Cependant, ils ont ajouté plus tard sur Twitter qu'une telle découverte "devrait être éligible à une prime maximale", ce qui est vaut $ 2 millions.
Ce n'est pas grave, il suffit de combler 470 millions de dollars grâce au même contrat de boîte de réception
Devrait certainement être éligible pour une prime maximale
– contre-courant (@0xriptide) 20 septembre 2022
Ni Arbitrum ni sa société créatrice OffChain Labs n'ont commenté publiquement l'exploit; Cointelegraph a contacté OffChain Labs pour un commentaire mais n'a pas immédiatement répondu.
Arbitrum est une solution Optimistic Rollup de couche 2 pour Ethereum, regroupant des lots de transactions avant de les soumettre au réseau Ethereum dans le but de minimiser la congestion du réseau et d'économiser sur les frais. Arbitrum Nitro lancé le 31 août, une mise à niveau visant à simplifier la communication entre Arbitrum et Ethereum, ainsi qu'à augmenter son débit de transactions à moindre frais.
Des hacks de pont de style similaire ont été couronnés de succès pour les exploiteurs cette année, notamment le 100 millions de dollars volés au pont Horizon en juin et le récent incident du pont symbolique Nomad en août, qui a vu 190 millions de dollars drainés par l'original et le "copieur" les pirates répétant l'exploit.
Source : https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty