Mộthacker mũ trắng tự mô tả đã phát hiện ra một “lỗ hổng nhiều triệu đô la” trong cây cầu nối Ethereum và Arbitrum Nitro và nhận được một khoản tiền thưởng 400 Ether ( ETH) cho tìm kiếm của họ.
Đượcbiết đến như riptide trên Twitter, hacker mô tả khai thác như là việc sử dụng một chức năng khởi tạo để thiết lập địa chỉ cầu nối của riêng họ, điều này sẽ cướp tất cả các khoản tiền gửi ETH đến từ những người cố gắng để nối tiền từ Ethereum để Arbitrum Nitro.
Riptidegiải thích việc khai thác trong một bài viết Medium vào ngày 20 tháng 9:
“Chúng tôi có thể chọn lọc nhắm mục tiêu các khoản tiền gửi ETH lớn để không bị phát hiện trong một khoảng thời gian dài hơn, siphon lên tất cả các khoản tiền gửi đi qua cầu, hoặc chờ và chỉ cần chạy trước các khoản tiền gửi ETH lớn tiếp theo.”
Việchack có thể đã có khả năng lưới hàng chục hoặc thậm chí hàng trăm triệu ETH trị giá, vì riptide tiền gửi lớn nhất được ghi nhận trong hộp thư đến là 168.000 ETH trị giá hơn 225 triệu USD, và các khoản tiền gửi điển hình dao động từ 1000 đến 5000 ETH trong một khoảng thời gian 24 giờ, trị giá từ 1,34 đến 6,7 triệu USD.
Mặcdù có tiềm năng thu nhập từ những lợi ích bất hợp pháp, riptide rất biết ơn rằng “nhóm Arbitrum cực kỳ dựa trên” cung cấp một khoản tiền thưởng 400 ETH, trị giá hơn $536,500, tuy nhiên sau đó họ nói thêm trên Twitter rằng một phát hiện như vậy “nên đủ điều kiện cho một tiền thưởng tối đa”, đó là trị giá 2 triệu USD.
Không có vấn đề lớn chỉ cần cầu nối một mát $470mm thông qua cùng một hợp đồng Inbox Chắc chắn sẽ đủ điều kiện cho một tiền thưởng tối đa https://t.co/w7S58QNQZu
– riptide (@0xriptide) Ngày 20 tháng 9 năm 2022
CảArbitrum lẫn công ty sáng tạo OffChain Labs đều không công khai nhận xét về việc khai thác, Cointelegraph liên lạc với OffChain Labs để nhận xét nhưng không ngay lập tức nghe lại.
có
liên quan: ETHW xác nhận hợp đồng lỗ hổng khai thác, bác bỏ tuyên bố replay tấn công
Arbitrum là một layer-2 Optitude Rollup giải pháp cho Ethereum, nhóm các lô giao dịch trước khi gửi nó vào mạng Ethereum trong một nỗ lực để giảm thiểu tắc nghẽn mạng và tiết kiệm chi phí. Arbitrum Nitro ra mắt vào ngày 31 tháng 8, một bản nâng cấp nhằm đơn giản hóa giao tiếp giữa Arbitrum và Ethereum cũng như tăng thông lượng giao dịch với mức phí thấp hơn.
Các
hacks cầu phong cách tương tự đã thành công cho các nhà khai thác trong năm nay, đáng chú ý là 100 triệu USD bị đánh cắp từ cầu Horizon vào tháng Sáu và sự cố cầu Nomad token gần đây trong tháng 8, chứng kiến 190 triệu USD thoát nước bởi bản gốc và “bắt chước” tin tặc lặp đi lặp lại khai thác.