Ինքն իրեն բնորոշող սպիտակ գլխարկի հաքերը հայտնաբերել է «մի քանի միլիոն դոլարի խոցելիություն» Ethereum-ը և Arbitrum Nitro-ն կապող կամուրջում և ստացել 400 Եթեր (ETH) առատաձեռնություն նրանց գտածոյի համար:
Twitter-ում հայտնի որպես riptide, հաքերը նկարագրել է շահագործումը որպես սկզբնավորման գործառույթի օգտագործում՝ իրենց սեփական կամուրջի հասցեն սահմանելու համար, որը կառևանգի բոլոր մուտքային ETH ավանդները դրանցից: փորձում է կամրջել միջոցները Ethereum-ից մինչև Արբիտրում Նիտրո
Riptide բացատրել շահագործումը երեքշաբթի միջին գրառման մեջ.
«Մենք կարող ենք կամ ընտրողաբար թիրախավորել ETH մեծ ավանդները, որպեսզի չհայտնաբերվեն ավելի երկար ժամանակ, կամուրջով անցնող յուրաքանչյուր ավանդ, կամ սպասենք և ուղղակի գործարկենք հաջորդ զանգվածային ETH ավանդը»:
Հակահակումը կարող էր պոտենցիալ տասնյակ կամ նույնիսկ հարյուրավոր միլիոնների ETH զտել, քանի որ մուտքի արկղում գրանցված ամենամեծ ավանդը կազմում էր 168,000 ETH՝ ավելի քան 225 միլիոն դոլար արժողությամբ, իսկ սովորական ավանդները տատանվում էին 1000-ից մինչև 5000 ETH 24 ժամվա ընթացքում, արժեքով: $1.34-ից $6.7 մլն-ի սահմաններում:
Չնայած ապօրինի ձեռք բերված շահույթից վաստակելու հնարավորությանը, riptide-ը շնորհակալ էր, որ «չափազանց հիմնավորված Arbitrum թիմը» տրամադրեց 400 ETH պարգև՝ ավելի քան 536,500 ԱՄՆ դոլար արժողությամբ: Այնուամենայնիվ, նրանք ավելի ուշ Twitter-ում ավելացրել են, որ նման գտածոն «պետք է իրավասու լինի առավելագույն պարգևի», որը արժանի $ 2 միլիոն:
Կարևոր չէ, պարզապես 470 մմ-ի չափը կամրջելը նույն Inbox պայմանագրի միջոցով
Անպայման պետք է իրավասու լինի առավելագույն պարգևի
— riptide (@0xriptide) Սեպտեմբեր 20, 2022
Ոչ Arbitrum-ը, ոչ էլ դրա ստեղծող OffChain Labs ընկերությունը հրապարակավ չեն մեկնաբանել շահագործումը. Cointelegraph-ը կապ հաստատեց OffChain Labs-ի հետ մեկնաբանություն ստանալու համար, բայց անմիջապես պատասխան չլսեց:
Related: ETHW-ն հաստատում է պայմանագրային խոցելիության շահագործումը, մերժում է կրկնակի հարձակման պնդումները
Arbitrum-ը Ethereum-ի համար 2-րդ շերտի լավատեսական համախմբման լուծում է, որը խմբավորում է գործարքների խմբաքանակները նախքան դրանք Ethereum ցանց ուղարկելը` փորձելով նվազագույնի հասցնել ցանցի գերբեռնվածությունը և խնայել վճարները: Arbitrum Nitro մեկնարկել է օգոստոսի 31-ին, արդիականացում, որի նպատակն է պարզեցնել Arbitrum-ի և Ethereum-ի միջև հաղորդակցությունը, ինչպես նաև ավելացնել գործարքների թողունակությունը ավելի ցածր վճարներով:
Նմանատիպ ոճի կամուրջների հաքերները հաջող են եղել այս տարի շահագործողների համար, հատկապես, որ «Հորիզոն» կամրջից գողացել են 100 միլիոն դոլար հունիսին և վերջերս տեղի ունեցած Nomad-ի խորհրդանշական կամրջի միջադեպը օգոստոսին, որի ընթացքում բնօրինակի և «պատճենահանման» պատճառով 190 միլիոն դոլար է ծախսվել: հաքերները կրկնում են շահագործումը.
Աղբյուր՝ https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty