Seorang peretas topi putih yang menggambarkan dirinya sendiri telah menemukan "kerentanan jutaan dolar" di jembatan yang menghubungkan Ethereum dan Arbitrum Nitro dan menerima 400 Ether (ETH) hadiah untuk penemuan mereka.
Dikenal sebagai riptide di Twitter, peretas menggambarkan eksploit sebagai penggunaan fungsi inisialisasi untuk mengatur alamat jembatan mereka sendiri, yang akan membajak semua deposit ETH yang masuk dari mereka. mencoba menjembatani dana dari Ethereum ke arbitrase Sendawa.
Riptide menjelaskan eksploitasi dalam posting Medium pada hari Selasa:
“Kami dapat secara selektif menargetkan deposit ETH besar agar tetap tidak terdeteksi untuk jangka waktu yang lebih lama, menyedot setiap deposit yang datang melalui jembatan, atau menunggu dan menjalankan deposit ETH besar-besaran berikutnya.”
Peretasan itu berpotensi menjaring ETH senilai puluhan atau bahkan ratusan juta, karena riptide setoran terbesar yang tercatat di kotak masuk adalah 168,000 ETH senilai lebih dari $225 juta, dan setoran tipikal berkisar antara 1000 hingga 5000 ETH dalam periode 24 jam, senilai antara $1.34 sampai $6.7 juta.
Terlepas dari potensi penghasilan dari keuntungan yang tidak sah, riptide bersyukur bahwa “tim Arbitrum yang sangat berbasis” memberikan hadiah 400 ETH, senilai lebih dari $536,500. Namun, mereka menambahkan kemudian di Twitter bahwa temuan seperti itu “harus memenuhi syarat untuk hadiah maksimal,” yaitu bernilai $ 2 juta.
Bukan masalah besar hanya menjembatani $470mm yang keren melalui kontrak Kotak Masuk yang sama
Pasti harus memenuhi syarat untuk hadiah maksimal
— gelombang pasang (@0xriptida) September 20, 2022
Baik Arbitrum maupun perusahaan pembuatnya, OffChain Labs, tidak secara terbuka mengomentari eksploitasi tersebut; Cointelegraph menghubungi OffChain Labs untuk memberikan komentar tetapi tidak segera mendapat tanggapan.
Terkait: ETHW mengonfirmasi eksploitasi kerentanan kontrak, menolak klaim serangan replay
Arbitrum adalah solusi Optimistic Rollup layer-2 untuk Ethereum, mengelompokkan kumpulan transaksi sebelum mengirimkannya ke jaringan Ethereum dalam upaya meminimalkan kemacetan jaringan dan menghemat biaya. Arbitrum Nitro diluncurkan pada 31 Agustus, peningkatan yang bertujuan untuk menyederhanakan komunikasi antara Arbitrum dan Ethereum, serta meningkatkan throughput transaksinya dengan biaya lebih rendah.
Peretasan jembatan gaya serupa telah berhasil untuk pengeksploitasi tahun ini, terutama, the $100 juta dicuri dari Horizon Bridge pada bulan Juni dan insiden jembatan token Nomad baru-baru ini pada bulan Agustus, yang menyebabkan $ 190 juta terkuras oleh yang asli dan "peniru" peretas mengulangi eksploitasi.
Sumber: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty