Un hacker au chapeau blanc autoproclamé a découvert une « vulnérabilité de plusieurs millions de dollars » dans le pont reliant Ethereum et Arbitrum Nitro et a reçu une prime de 400 Ether (ETH) pour leur découverte.
Connu sous le nom de riptide sur Twitter, le pirate a décrit l’exploit comme l’utilisation d’une fonction d’initialisation pour définir sa propre adresse de pont, ce qui détournerait tous les dépôts ETH entrants de ceux qui tentent de transférer des fonds d’Ethereum à Arbitrum Nitro.
Riptide a expliqué l’exploit dans un Medium Publier le 20 septembre :
« Nous pourrions soit cibler de manière sélective les grands dépôts d’ETH pour qu’ils restent non détectés pendant une plus longue période, siphonner chaque dépôt qui passe par le pont, ou attendre et juste anticiper le prochain dépôt massif d’ETH. »
Le piratage aurait pu potentiellement rapporter des dizaines, voire des centaines de millions d’ETH, car le plus grand riptide de dépôt enregistré dans la boîte de réception était de 168 000 ETH d’une valeur de plus de 225 millions de dollars, et les dépôts typiques variaient de 1 000 à 5 000 ETH sur une période de 24 heures, d’une valeur entre 1,34 et 6,7 millions de dollars.
Malgré le potentiel de gain des gains mal acquis, riptide était reconnaissant que «l’équipe Arbitrum extrêmement basée» ait fourni une prime de 400 ETH, d’une valeur de plus de 536 500 $, mais ils ont ajouté plus tard sur Twitter qu’une telle découverte «devrait être éligible pour une prime maximale , » lequel est la peine 2 millions de dollars.
Ce n’est pas grave, il suffit de combler 470 millions de dollars grâce au même contrat de boîte de réception
Devrait certainement être éligible pour une prime maximale
– contre-courant (@0xriptide) 20 septembre 2022
Ni Arbitrum ni sa société créatrice OffChain Labs n’ont commenté publiquement l’exploit, Cointelegraph a contacté OffChain Labs pour commentaires mais n’a pas immédiatement répondu.
Lié: L’ETHW confirme l’exploitation de la vulnérabilité du contrat et rejette les allégations d’attaque par relecture
Arbitrum est une solution Optimistic Rollup de couche 2 pour Ethereum, regroupant des lots de transactions avant de les soumettre au réseau Ethereum dans le but de minimiser la congestion du réseau et d’économiser sur les frais. Arbitrum Nitro a lancé le 31 août une mise à niveau visant à simplifier la communication entre Arbitrum et Ethereum ainsi qu’à augmenter son débit de transactions à moindre frais.
Des hacks de ponts de style similaire ont été couronnés de succès pour les exploiteurs cette année, notamment les 100 millions de dollars volés au pont Horizon en juin et le récent incident du pont symbolique Nomad en août, qui a vu 190 millions de dollars drainés par les pirates originaux et « imitateurs » répétant l’exploit.