האקר כובע לבן המתואר בעצמו חשף "פגיעות של מיליוני דולרים" בגשר המקשר בין Ethereum ו-Arbitrum Nitro וקיבל Ether 400 (ETH) פרס על מציאתם.
הידוע כ-riptide בטוויטר, ההאקר תיאר את הניצול כשימוש בפונקציית אתחול כדי להגדיר כתובת גשר משלהם, שתחטוף את כל הפקדות ה-ETH הנכנסות מאלה. מנסה לגשר על כספים מאת'ריום ועד ארביטרום ניטרו.
גֵאוּת שׁוֹטֶפֶת מוסבר הניצול בפוסט בינוני ביום שלישי:
"נוכל לכוון באופן סלקטיבי למרבדי ETH גדולים כדי להישאר בלתי מזוהים במשך תקופה ארוכה יותר, לשאוב כל פיקדון בודד שמגיע דרך הגשר, או להמתין ופשוט להפעיל את הפקדת ETH האדירה הבאה."
הפריצה הייתה עשויה להניב ETH בשווי של עשרות או אפילו מאות מיליוני דולרים, מכיוון שההפקדה הגדולה ביותר שנרשמה בתיבת הדואר הנכנס הייתה 168,000 ETH בשווי של מעל 225 מיליון דולר, והפקדות טיפוסיות נעו בין 1000 ל-5000 ETH בפרק זמן של 24 שעות, בשווי בין 1.34 ל-6.7 מיליון דולר.
למרות פוטנציאל ההשתכרות מהרווחים שלא הושגו, riptide היה אסיר תודה על כך ש"צוות ה-Arbitrum המבוסס ביותר" סיפק פרס של 400 ETH, בשווי של למעלה מ-$536,500. עם זאת, הם הוסיפו מאוחר יותר בטוויטר שממצא כזה "צריך להיות זכאי לפרס מקסימלי", שהוא ראוי $ 2 מיליון דולר.
לא נורא רק לגשר על 470 מ"מ מגניב באמצעות אותו חוזה Inbox
בהחלט צריך להיות זכאי לפרס מקסימלי
— riptide (@0xriptide) ספטמבר 20, 2022
לא ארביטרום ולא חברת היוצר שלה OffChain Labs הגיבו בפומבי על הניצול; קוינטלגרף פנה ל-OffChain Labs לצורך תגובה אך לא שמע מיד.
מידע נוסף: ETHW מאשרת ניצול פגיעות בחוזה, דוחה טענות לתקיפה חוזרת
Arbitrum הוא פתרון שכבה 2 אופטימי ל-Ethereum, המקבץ קבוצות של עסקאות לפני הגשתן לרשת Ethereum במאמץ למזער את העומס ברשת ולחסוך בעמלות. ארביטרום ניטרו הושק ב-31 באוגוסט, שדרוג שמטרתו לפשט את התקשורת בין ארביטרום לאתריום, כמו גם להגדיל את תפוקת העסקאות שלו בעמלות נמוכות יותר.
פריצות לברידג' בסגנון דומה היו מוצלחות עבור מנצלים השנה, במיוחד, ה 100 מיליון דולר נגנבו מגשר האופק ביוני ותקרית גשר האסימונים האחרונה של Nomad באוגוסט, שבה נגזל 190 מיליון דולר על ידי המקור ו"העתק" האקרים שחוזרים על הניצול.
מקור: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty