แฮ็กเกอร์หมวกขาวที่อธิบายตัวเองได้ค้นพบ “ช่องโหว่มูลค่าหลายล้านดอลลาร์” ในสะพานที่เชื่อมโยง Ethereum และ Arbitrum Nitro และได้รับ 400 Ether (ETH) เงินรางวัลสำหรับการค้นหาของพวกเขา
แฮ็กเกอร์ที่รู้จักกันในชื่อ riptide บน Twitter อธิบายการใช้ประโยชน์เป็นการใช้ฟังก์ชันเริ่มต้นเพื่อตั้งค่าที่อยู่บริดจ์ของตนเอง ซึ่งจะจี้เงินฝาก ETH ที่เข้ามาทั้งหมดจากสิ่งเหล่านั้น พยายามเชื่อมทุน จาก Ethereum ถึง อนุญาโตตุลาการ ไนโตร.
กระแสน้ำที่ต้านกระแสน้ำอื่น อธิบาย การใช้ประโยชน์ในโพสต์ขนาดกลางเมื่อวันอังคาร:
“เราสามารถเลือกกำหนดเป้าหมายเงินฝาก ETH ขนาดใหญ่เพื่อไม่ให้ถูกตรวจพบเป็นระยะเวลานาน ดูดเงินฝากทุกรายการที่เข้ามาทางสะพาน หรือรอและดำเนินการฝาก ETH จำนวนมากครั้งต่อไป”
การแฮ็กอาจทำให้มูลค่า ETH สุทธิได้หลายสิบหรือหลายร้อยล้าน เนื่องจากการฝากเงินที่ใหญ่ที่สุดที่บันทึกไว้ในกล่องจดหมายคือ 168,000 ETH มูลค่ากว่า 225 ล้านดอลลาร์ และเงินฝากทั่วไปมีตั้งแต่ 1000 ถึง 5000 ETH ในระยะเวลา 24 ชั่วโมง ระหว่าง 1.34 ถึง 6.7 ล้านดอลลาร์
แม้จะมีศักยภาพในการสร้างรายได้จากการได้กำไรที่ไม่ดี แต่ riptide ก็รู้สึกขอบคุณที่ “ทีม Arbitrum ที่มีพื้นฐานสูง” มอบเงินรางวัล 400 ETH มูลค่ากว่า 536,500 ดอลลาร์ อย่างไรก็ตาม พวกเขาได้เพิ่มในภายหลังบน Twitter ว่าการค้นหาดังกล่าว “ควรมีสิทธิ์ได้รับเงินรางวัลสูงสุด” ซึ่งก็คือ คุ้มค่า $ 2 ล้าน
ไม่มีเรื่องใหญ่เพียงแค่เชื่อมโยง $ 470mm ที่ยอดเยี่ยมผ่านสัญญา Inbox เดียวกัน
สมควรได้รับค่าหัวสูงสุดแน่นอน
— ริปไทด์ (@0xriptide) September 20, 2022
ทั้ง Arbitrum และบริษัทผู้สร้าง OffChain Labs ไม่ได้แสดงความเห็นต่อสาธารณะเกี่ยวกับการหาประโยชน์ Cointelegraph ติดต่อ OffChain Labs เพื่อขอความคิดเห็นแต่ไม่ได้รับการตอบกลับในทันที
ที่เกี่ยวข้อง ETHW ยืนยันการใช้ประโยชน์จากช่องโหว่ของสัญญา ยกเลิกการอ้างสิทธิ์การโจมตีซ้ำ
Arbitrum เป็นโซลูชัน Rollup Optimistic เลเยอร์ 2 สำหรับ Ethereum โดยจัดกลุ่มธุรกรรมเป็นกลุ่มก่อนที่จะส่งไปยังเครือข่าย Ethereum เพื่อลดความแออัดของเครือข่ายและประหยัดค่าธรรมเนียม อนุญาโตตุลาการ Nitro เปิดตัวเมื่อวันที่ 31 ส.ค.การอัพเกรดมีวัตถุประสงค์เพื่อลดความซับซ้อนในการสื่อสารระหว่าง Arbitrum และ Ethereum ตลอดจนเพิ่มปริมาณงานในการทำธุรกรรมด้วยค่าธรรมเนียมที่ต่ำลง
การแฮ็กแบบบริดจ์ที่คล้ายคลึงกันประสบความสำเร็จสำหรับผู้โจมตีในปีนี้ โดยเฉพาะอย่างยิ่ง ขโมยเงิน 100 ล้านดอลลาร์จากสะพานฮอไรซอน ในเดือนมิถุนายนและเหตุการณ์ Nomad Token Bridge ครั้งล่าสุดในเดือนสิงหาคม ซึ่งเงินจำนวน 190 ล้านดอลลาร์ถูกระบายออกไปโดยต้นฉบับและ "คนลอกเลียนแบบ" แฮกเกอร์ใช้ช่องโหว่ซ้ำๆ.
ที่มา: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty