一位自稱為白帽黑客的黑客在連接以太坊和Arbitrum Nitro 的橋樑中發現了一個“數百萬美元的漏洞”,並獲得了400 以太幣(以太坊) 賞金他們的發現。
在Twitter 上被稱為riptide 的黑客將該漏洞描述為使用初始化函數來設置他們自己的橋接地址,這將劫持所有來自這些人的ETH 存款。 試圖彌合資金 從以太坊到 仲裁 硝基。
Riptide 在Medium 中解釋了該漏洞利用 郵政 9月20日:
“我們可以選擇性地鎖定大量ETH 存款,以便在更長時間內不被發現,吸走通過橋接的每一筆存款,或者等待並提前運行下一筆巨額ETH 存款。”
此次黑客攻擊可能會淨賺價值數千萬甚至數億的ETH,因為收件箱中記錄的最大存款激流是168,000 ETH,價值超過2.25 億美元,典型存款在24 小時內從1000 到5000 ETH 不等,價值在1.34 美元到670 萬美元之間。
儘管從不義之財中獲得了潛在的收入,但riptide 還是感謝“非常基礎的Arbitrum 團隊”提供了400 ETH 的賞金,價值超過536,500 美元,但他們後來在Twitter 上補充說,這樣的發現“應該有資格獲得最大賞金,”即 值得 200萬美元。
沒什麼大不了的,只是通過相同的收件箱合同橋接一個很酷的470 毫米
絕對應該有資格獲得最大賞金
— 激流(@0xriptide) 2022 年9 月20 日
Arbitrum 及其創建者公司OffChain Labs 都沒有公開評論該漏洞,Cointelegraph 聯繫了OffChain Labs 徵求意見,但沒有立即收到回复。
Arbitrum 是以太坊的第2 層Optimistic Rollup 解決方案,在將批量交易提交到以太坊網絡之前對其進行聚類,以盡量減少網絡擁塞並節省費用。仲裁硝基 8月31日推出,升級旨在簡化Arbitrum 和以太坊之間的通信,並以較低的費用提高其交易吞吐量。
今年,類似風格的橋樑黑客攻擊已經成功地為剝削者,尤其是 1億美元從地平線橋被盜 6 月和最近8 月的Nomad 代幣橋事件導致1.9 億美元被原始和 “模仿”黑客 重複利用。