白帽在 ETH 中发现了 Arbitrum 桥的巨大漏洞
道德剥削者感谢 Arbitrium 的 400 ETH 发薪日,但表示这样的发现应该有资格获得近 1,500 ETH 的最高赏金,即 200 万美元。
一位自称为白帽黑客的黑客在连接以太坊和 Arbitrum Nitro 的桥梁中发现了一个“数百万美元的漏洞”,并获得了 400 以太币 ( ETH ) 的赏金。
在 Twitter 上被称为 riptide 的黑客将该漏洞描述为使用初始化函数来设置他们自己的桥接地址,这将劫持那些试图将资金从以太坊连接到Arbitrum Nitro 的人的所有传入 ETH 存款。
Riptide在 9 月 20 日的一篇 Medium帖子中解释了该漏洞:
“我们可以选择性地锁定大量 ETH 存款,以便在更长时间内不被发现,吸走通过桥接的每一笔存款,或者等待并提前运行下一笔巨额 ETH 存款。”
此次黑客攻击可能会净赚价值数千万甚至数亿的 ETH,因为收件箱中记录的最大存款激流是 168,000 ETH,价值超过 2.25 亿美元,典型存款在 24 小时内从 1000 到 5000 ETH 不等,价值在 1.34 美元到 670 万美元之间。
尽管从不义之财中获得了潜在的收入,但 riptide 还是感谢“非常基础的 Arbitrum 团队”提供了 400 ETH 的赏金,价值超过 536,500 美元,但他们后来在 Twitter 上补充说,这样的发现“应该有资格获得最大赏金”,价值200 万美元。
Arbitrum 及其创建者公司 OffChain Labs 都没有公开评论该漏洞,Cointelegraph 联系了 OffChain Labs 征求意见,但没有立即收到回复。
Arbitrum 是以太坊的第 2 层 Optimistic Rollup 解决方案,在将批量交易提交到以太坊网络之前对其进行聚类,以尽量减少网络拥塞并节省费用。Arbitrum Nitro于 8 月 31日推出,升级旨在简化 Arbitrum 和以太坊之间的通信,并以较低的费用提高其交易吞吐量。
今年,类似风格的桥接黑客已经成功地为利用者提供了成功,特别是6 月份从 Horizon Bridge 被盗的 1 亿美元以及最近 8 月份的 Nomad 代币桥接事件,导致原始黑客和“模仿”黑客重复利用这一漏洞流失了 1.9 亿美元。
微信掃描關注公眾號,及時掌握新動向
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場