Un hacker de sombrero blanco autodenominado ha descubierto una “vulnerabilidad multimillonaria” en el puente que une Ethereum y Arbitrum Nitro y recibió una recompensa de 400 Ether (ETH) por su hallazgo.
Conocido como riptide en Twitter, el pirata informático describió el exploit como el uso de una función de inicialización para establecer su propia dirección de puente, que secuestraría todos los depósitos entrantes de ETH de aquellos que intentan unir fondos de Ethereum a Arbitrum Nitro.
Aguas revueltas explicado el exploit en una publicación de Medium el martes:
“Podríamos apuntar selectivamente a grandes depósitos de ETH para permanecer sin ser detectados durante un período de tiempo más largo, desviar cada depósito que pase por el puente, o esperar y simplemente adelantar el próximo depósito masivo de ETH”.
El hack podría haber generado potencialmente decenas o incluso cientos de millones de ETH, ya que la corriente de depósito más grande registrada en la bandeja de entrada fue de 168 000 ETH con un valor de más de $225 millones, y los depósitos típicos oscilaron entre 1000 y 5000 ETH en un período de 24 horas, con un valor entre $ 1,34 a $ 6,7 millones.
A pesar del potencial de ganancias de las ganancias mal habidas, riptide agradeció que el “equipo de Arbitrum extremadamente basado” proporcionara una recompensa de 400 ETH, por un valor de más de $ 536,500. Sin embargo, agregaron más tarde en Twitter que tal hallazgo “debería ser elegible para una recompensa máxima”, que es valor $2 millones
No es gran cosa, solo un puente de $ 470 mm a través del mismo contrato de Inbox
Definitivamente debería ser elegible para una recompensa máxima
— mareas altas (@0x mareas altas) 20 de septiembre de 2022
Ni Arbitrum ni su empresa creadora OffChain Labs han comentado públicamente sobre el exploit; Cointelegraph se puso en contacto con OffChain Labs para obtener comentarios, pero no recibió respuesta de inmediato.
Relacionado: ETHW confirma la explotación de la vulnerabilidad del contrato, descarta los reclamos de ataques de repetición
Arbitrum es una solución Optimistic Rollup de capa 2 para Ethereum, que agrupa lotes de transacciones antes de enviarlas a la red Ethereum en un esfuerzo por minimizar la congestión de la red y ahorrar en tarifas. Arbitrum Nitro lanzó el 31 de agosto, una actualización destinada a simplificar la comunicación entre Arbitrum y Ethereum, así como a aumentar el rendimiento de sus transacciones a tarifas más bajas.
Hacks de puentes de estilo similar han tenido éxito para los explotadores este año, en particular, los $ 100 millones robados de Horizon Bridge en junio y el reciente incidente del puente token Nomad en agosto, en el que los piratas informáticos originales e “imitadores” drenaron $ 190 millones repitiendo el exploit. .