Un White Hat encuentra una gran vulnerabilidad en el puente ETH-Arbitrum: ¿Para cuándo la recompensa?
El Hacker ético agradeció a Arbitrium por el día de pago de 400 ETH, pero dijo que tal hallazgo debería ser elegible para la recompensa máxima de casi 1500 ETH, o $2 millones.
Descubrió una gran vulnerabilidad en el puente ETH-Arbitrum
Un hacker de sombrero blanco autodenominado ha descubierto una «vulnerabilidad multimillonaria» en el puente que une Ethereum y Arbitrum Nitro y recibió 400 Ether (ETH) recompensa por su hallazgo.
Conocido como riptide en Twitter, el pirata informático describió el exploit como el uso de una función de inicialización para establecer su propia dirección de puente, que secuestraría todos los depósitos ETH entrantes de esos tratando de unir fondos de ethereum a Arbitrum Nitro.
Riptide explicó el exploit en un post de Medium el 20 de septiembre:
«Podríamos apuntar selectivamente a grandes depósitos de ETH para permanecer sin ser detectados durante un período de tiempo más largo, desviar cada depósito que pase por el puente, o esperar y simplemente adelantar el próximo depósito masivo de ETH».
El hack podría haber generado potencialmente decenas o incluso cientos de millones de ETH, ya que la corriente de depósito más grande registrada en la bandeja de entrada fue de 168 000 ETH con un valor de más de $225 millones, y los depósitos típicos oscilaron entre 1000 y 5000 ETH en un período de 24 horas, con un valor entre $ 1,34 a $ 6,7 millones.
A pesar del potencial de ganancias de las ganancias mal habidas, riptide agradeció que el «equipo de Arbitrum extremadamente basado» proporcionara una recompensa de 400 ETH, con un valor de más de $ 536,500, sin embargo, agregaron más tarde en Twitter que tal hallazgo «debería ser elegible para una recompensa máxima ,» cual es valor $2 millones
No es gran cosa, solo un puente de $ 470 mm a través del mismo contrato de Inbox
Definitivamente debería ser elegible para una recompensa máxima
— mareas altas (@0x mareas altas) 20 de septiembre de 2022
Ni Arbitrum ni su empresa creadora, OffChain Labs, han comentado públicamente sobre el exploit. Cointelegraph se puso en contacto con OffChain Labs para hacer comentarios, pero no recibió respuesta de inmediato.
Relacionado: Hackean la cuenta de CoinDCX en Twitter
Arbitrum es una solución Optimistic Rollup de capa 2 para Ethereum, que agrupa lotes de transacciones antes de enviarlas a la red Ethereum en un esfuerzo por minimizar la congestión de la red y ahorrar en tarifas. Nitro arbitrario lanzado el 31 de Agosto una actualización destinada a simplificar la comunicación entre Arbitrum y Ethereum, así como a aumentar el rendimiento de sus transacciones a tarifas más bajas.
Hacks de puentes de estilo similar han tenido éxito para los explotadores este año, en particular el $ 100 millones robados del puente Horizon en junio y el reciente incidente del puente token de Nomad en agosto, en el que se gastaron $190 millones por parte del original y piratas informáticos «imitadores» repitiendo la hazaña.