Një haker i vetë-përshkruar i kapelës së bardhë ka zbuluar një "vulnerabilitet shumë milionë dollarësh" në urën që lidh Ethereum dhe Arbitrum Nitro dhe ka marrë një 400 Ether (ETH) bujari për gjetjen e tyre.
I njohur si riptide në Twitter, hakeri e përshkroi shfrytëzimin si përdorimin e një funksioni inicializues për të vendosur adresën e tyre të urës, e cila do të rrëmbente të gjitha depozitat hyrëse të ETH nga ato duke u përpjekur për të kapërcyer fondet nga Ethereum në arbitrazhi Nitro
Riptide shpjegoi shfrytëzimi në një postim të mesëm të martën:
"Ne mund të synojmë në mënyrë selektive depozitat e mëdha të ETH për të mbetur të pazbuluara për një periudhë më të gjatë kohore, të mbledhim çdo depozitë të vetme që kalon përmes urës, ose të presim dhe thjesht të drejtojmë depozitën tjetër masive të ETH".
Hakimi mund të kishte fituar potencialisht dhjetëra apo edhe qindra miliona ETH, pasi depozita më e madhe e regjistruar në kutinë hyrëse ishte 168,000 ETH me vlerë mbi 225 milionë dollarë, dhe depozitat tipike varionin nga 1000 në 5000 ETH në një periudhë 24-orëshe, me vlerë ndërmjet 1.34 dhe 6.7 milionë dollarë.
Pavarësisht nga potenciali i fitimit nga fitimet e marra në mënyrë të paligjshme, riptide ishte mirënjohës që "ekipi i Arbitrum me bazë ekstreme" dha një shpërblim prej 400 ETH, me vlerë mbi 536,500 dollarë. Megjithatë, ata shtuan më vonë në Twitter se një gjetje e tillë "duhet të jetë e pranueshme për një shpërblim maksimal", që është vlerë $ 2 milion.
Nuk ka ndonjë gjë të madhe, thjesht tejkalimi i një çmimi të mirë prej 470 mm përmes së njëjtës kontratë në Inbox
Patjetër që duhet të kualifikohen për një shpërblim maksimal
— riptide (@0xriptide) Shtator 20, 2022
As Arbitrum dhe as kompania e tij krijuese OffChain Labs nuk kanë komentuar publikisht mbi shfrytëzimin; Cointelegraph kontaktoi OffChain Labs për koment, por nuk u përgjigj menjëherë.
Arbitrum është një zgjidhje e Përmbledhjes Optimiste e nivelit 2 për Ethereum, duke grumbulluar grupe transaksionesh përpara se t'i dorëzojë ato në rrjetin Ethereum në një përpjekje për të minimizuar mbingarkesën e rrjetit dhe për të kursyer tarifat. Arbitrum Nitro nisur më 31 gusht, një përmirësim që synon të thjeshtojë komunikimin midis Arbitrum dhe Ethereum, si dhe rritjen e xhiros së transaksionit të tij me tarifa më të ulëta.
Hakimet e stilit të ngjashëm të urave kanë qenë të suksesshme për shfrytëzuesit këtë vit, veçanërisht për 100 milionë dollarë të vjedhura nga Ura e Horizontit në qershor dhe incidenti i fundit i urës simbolike Nomad në gusht, ku u shpenzuan 190 milionë dollarë nga origjinali dhe "kopjimi" hakerët që përsërisin shfrytëzimin.
Burimi: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty