一位自稱為白帽黑客的黑客在連接以太坊和Arbitrum Nitro 的橋樑中發現了一個“數百萬美元的漏洞”,並獲得了400 以太幣(ETH) 的賞金。
在Twitter 上被稱為riptide 的黑客將該漏洞描述為使用初始化函數來設置他們自己的橋接地址,這將劫持那些試圖將資金從以太坊連接到Arbitrum Nitro 的人的所有傳入ETH 存款。
Riptide 在9 月20 日的一篇Medium 帖子中解釋了該漏洞:
“我們可以選擇性地鎖定大量ETH 存款,以便在更長時間內不被發現,吸走通過橋接的每一筆存款,或者等待並提前運行下一筆巨額ETH 存款。”
此次黑客攻擊可能會淨賺價值數千萬甚至數億的ETH,因為收件箱中記錄的最大存款激流是168,000 ETH,價值超過2.25 億美元,典型存款在24 小時內從1000 到5000 ETH 不等,價值在1.34 美元到670 萬美元之間。
儘管從不義之財中獲得了潛在的收入,但riptide 還是感謝“非常基礎的Arbitrum 團隊”提供了400 ETH 的賞金,價值超過536,500 美元,但他們後來在Twitter 上補充說,這樣的發現“應該有資格獲得最大賞金”,價值200 萬美元。
沒什麼大不了的,只是通過相同的收件箱合約橋接一個很酷的470 毫米
絕對應該有資格獲得最大賞金
https://t.co/w7S58QNQZu
— 激流(@0xriptide) 2022 年9 月20 日
Arbitrum 及其創建者公司OffChain Labs 都沒有公開評測該漏洞,Cointelegraph 聯繫了OffChain Labs 徵求意見,但沒有立即收到回复。
ETHW 確認合約漏洞利用,駁回重放攻擊索賠
Arbitrum 是以太坊的第2 層Optimistic Rollup 解決方案,在將批量交易提交到以太坊網絡之前對其進行聚類,以盡量減少網絡擁塞並節省費用。 Arbitrum Nitro 於8 月31 日推出,升級旨在簡化Arbitrum 和以太坊之間的通信,並以較低的費用提高其交易吞吐量。
今年,類似風格的橋接黑客已經成功地為利用者提供了成功,特別是6 月份從Horizon Bridge 被盜的1 億美元以及最近8 月份的Nomad 代幣橋接事件,導致原始黑客和“模仿者”重複利用該漏洞的黑客流失了1.9 億美元。
資訊來源:由0x資訊編譯自COINTELEGRAPH。版權歸作者Jesse Coghlan所有,未經許可,不得轉載