Ein selbsternannter White-Hat-Hacker hat eine „Multimillionen-Dollar-Schwachstelle“ in der Brücke entdeckt, die Ethereum und Arbitrum Nitro verbindet, und eine Prämie von 400 Ether (ETH) für ihren Fund erhalten.
Auf Twitter als Riptide bekannt, beschrieb der Hacker den Exploit als die Verwendung einer Initialisierungsfunktion, um seine eigene Bridge-Adresse festzulegen, die alle eingehenden ETH-Einzahlungen von denen entführen würde, die versuchen, Gelder von Ethereum zu Arbitrum Nitro zu überbrücken.
Riptide erklärte den Exploit in einem Medium Post am 20. September:
„Wir könnten entweder selektiv auf große ETH-Einlagen abzielen, um für einen längeren Zeitraum unentdeckt zu bleiben, jede einzelne Einlage, die durch die Brücke kommt, abschöpfen oder warten und einfach die nächste massive ETH-Einlage vorantreiben.“
Der Hack hätte möglicherweise ETH im Wert von mehreren zehn oder sogar hundert Millionen einbringen können, da die größte im Posteingang verzeichnete Einzahlungsflut 168.000 ETH im Wert von über 225 Millionen US-Dollar betrug und typische Einzahlungen zwischen 1000 und 5000 ETH in einem Zeitraum von 24 Stunden lagen zwischen 1,34 und 6,7 Millionen US-Dollar.
Trotz des Verdienstpotenzials durch die unrechtmäßig erworbenen Gewinne war Riptide dankbar, dass das „extrem basierte Arbitrum-Team“ eine Prämie von 400 ETH im Wert von über 536.500 US-Dollar bereitgestellt hatte, fügte jedoch später auf Twitter hinzu, dass ein solcher Fund „für eine maximale Prämie in Frage kommen sollte ,” welches ist Wert 2 Millionen Dollar.
Keine große Sache, nur coole 470 Millionen US-Dollar durch denselben Inbox-Vertrag zu überbrücken
Es sollte auf jeden Fall Anspruch auf ein maximales Kopfgeld haben
— Springflut (@0xripflut) 20. September 2022
Weder Arbitrum noch seine Schöpferfirma OffChain Labs haben sich öffentlich zu dem Exploit geäußert, Cointelegraph hat OffChain Labs um einen Kommentar gebeten, aber nicht sofort eine Antwort erhalten.
Verwandt: ETHW bestätigt Ausnutzung von Vertragsschwachstellen und weist Replay-Angriffsansprüche zurück
Arbitrum ist eine optimistische Layer-2-Rollup-Lösung für Ethereum, die Transaktionsstapel gruppiert, bevor sie an das Ethereum-Netzwerk übermittelt werden, um die Netzwerküberlastung zu minimieren und Gebühren zu sparen. Arbitrum Nitro startete am 31. August, ein Upgrade, das darauf abzielt, die Kommunikation zwischen Arbitrum und Ethereum zu vereinfachen und den Transaktionsdurchsatz bei niedrigeren Gebühren zu erhöhen.
Bridge-Hacks ähnlicher Art waren in diesem Jahr für Exploiter erfolgreich, insbesondere die 100 Millionen Dollar, die im Juni von der Horizon Bridge gestohlen wurden, und der jüngste Nomad-Token-Bridge-Vorfall im August, bei dem 190 Millionen Dollar von den ursprünglichen und „Nachahmer“-Hackern abgezogen wurden, die den Exploit wiederholten.