თვითნათქვამმა თეთრი ქუდის ჰაკერმა აღმოაჩინა "მრავალმილიონ დოლარიანი დაუცველობა" ხიდზე, რომელიც აკავშირებს Ethereum-ს და Arbitrum Nitro-ს და მიიღო 400 ეთერი (ETH) სიკეთე მათი პოვნისთვის.
Twitter-ზე ცნობილი როგორც riptide, ჰაკერმა აღწერა ექსპლოიტი, როგორც ინიციალიზაციის ფუნქციის გამოყენება საკუთარი ხიდის მისამართის დასაყენებლად, რომელიც გაიტაცა ყველა შემომავალ ETH დეპოზიტზე. ცდილობს სახსრების გადალახვას Ethereum-დან არბიტრაჟი ნიტრო
Riptide განმარტა ექსპლოიტი სამშაბათს საშუალო პოსტში:
„ჩვენ შეგვიძლია შერჩევით მივმართოთ ETH-ის დიდ დეპოზიტებს, რათა შეუმჩნეველი დარჩეს უფრო დიდი ხნის განმავლობაში, ამოვიცნოთ ყოველი დეპოზიტი, რომელიც შემოდის ხიდზე, ან დაველოდოთ და უბრალოდ გავატაროთ შემდეგი მასიური ETH დეპოზიტი“.
ჰაკერმა შესაძლოა ათობით ან თუნდაც ასობით მილიონის ღირებულების ETH მოიპოვოს, რადგან ყველაზე დიდი დეპოზიტი, რომელიც დაფიქსირდა შემოსულებში იყო 168,000 ETH, ღირებულების $225 მილიონ დოლარზე მეტი, და ტიპიური დეპოზიტები მერყეობდა 1000-დან 5000 ETH-მდე 24 საათიანი პერიოდის განმავლობაში. $1.34-დან $6.7 მილიონამდე.
მიუხედავად უკანონოდ მიღწეული მოგებიდან შემოსავლის პოტენციალისა, რიპტიდი მადლობელი იყო, რომ „უკიდურესად დაფუძნებულმა არბიტრუმის გუნდმა“ უზრუნველყო 400 ETH ბონუტი, 536,500 დოლარზე მეტი ღირებულების. თუმცა, მოგვიანებით მათ Twitter-ზე დაამატეს, რომ ასეთი აღმოჩენა „უნდა იყოს დაშვებული მაქსიმალური ბონუსისთვის“, რაც არის ღირს $ 2 მილიონი.
დიდი საქმე არ არის, უბრალოდ 470 მმ-იანი დოლარის გადალახვა იგივე Inbox კონტრაქტით
აუცილებლად უნდა იყოს დაშვებული მაქსიმალური ბონუსისთვის
— riptide (@0xriptide) სექტემბერი 20, 2022
არც Arbitrum-ს და არც მის შემქმნელ კომპანია OffChain Labs-ს არ გაუკეთებიათ საჯარო კომენტარი ექსპლოიტის შესახებ; Cointelegraph დაუკავშირდა OffChain Labs-ს კომენტარისთვის, მაგრამ მაშინვე არ გაუგია პასუხი.
ამავე თემაზე: ETHW ადასტურებს კონტრაქტის დაუცველობის ექსპლუატაციას, უარყოფს განმეორებითი შეტევის პრეტენზიებს
Arbitrum არის Ethereum-ის ოპტიმისტური შეკრების 2-ფენიანი გადაწყვეტა, რომელიც აგროვებს ტრანზაქციების პარტიებს Ethereum-ის ქსელში გაგზავნამდე, რათა მინიმუმამდე დაიყვანოს ქსელის გადატვირთულობა და დაზოგოს საკომისიო. არბიტრუმის ნიტრო ამოქმედდა 31 აგვისტოს, განახლება მიზნად ისახავს გაამარტივოს კომუნიკაცია Arbitrum-სა და Ethereum-ს შორის, ასევე გაზარდოს მისი ტრანზაქციის გამტარუნარიანობა უფრო დაბალი საფასურით.
მსგავსი სტილის ხიდის ჰაკერები წარმატებული იყო ექსპლოატატორებისთვის წელს, განსაკუთრებით ჰორიზონტის ხიდიდან 100 მილიონი დოლარი მოიპარეს ივნისში და ბოლოდროინდელ Nomad-ის სიმბოლური ხიდის ინციდენტი აგვისტოში, რომლის დროსაც 190 მილიონი დოლარი დაიხარჯა ორიგინალისა და „ასლის“ მიერ. ჰაკერები იმეორებენ ექსპლოიტს.
წყარო: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty