Coin News

Un hacker etico, "white hat", individua una "vulnerabilità multimilionaria" nel bridge tra ETH e Arbitrum

3 d ago3 min readEthereum
Un hacker etico, "white hat", individua una "vulnerabilità multimilionaria" nel bridge tra ETH e Arbitrum

Un hacker autodefinitosi "white hat" ha scoperto una "vulnerabilità multimilionaria" nel bridge che collega Ethereum e Arbitrum Nitro, ricevendo un premio di 400 Ether (ETH) per la sua scoperta.

Conosciuto come Riptide su Twitter, l'hacker ha descritto l'exploit come l'uso di una funzione di inizializzazione per impostare il proprio indirizzo bridge, che avrebbe dirottato tutti i depositi ETH in arrivo da chi cercava di trasferire fondi da Ethereum ad Arbitrum Nitro.

Riptide ha spiegato l'exploit in un post del 20 settembre su Medium:

"Potremmo mirare selettivamente ai grandi depositi di ETH rimanendo nascosti per un periodo di tempo più lungo, trafugare ogni singolo deposito che passa attraverso il bridge, oppure aspettare e fare un front-run del prossimo enorme deposito di ETH".

L'hack avrebbe potuto potenzialmente fruttare decine o addirittura centinaia di milioni di ETH, dato che il deposito più grande registrato da Riptide nella casella di posta era di 168.000 ETH, per un valore di oltre 225 milioni di dollari, e i depositi tipici variavano da 1000 a 5000 ETH in un periodo di 24 ore, per un valore compreso tra 1,34 e 6,7 milioni di dollari.

Nonostante il potenziale guadagno derivante dall'hack, Riptide ha ringraziato il "team Arbitrum, estremamente preparato", che ha erogato un premio di 400 ETH, per un valore di oltre 536.500$, aggiungendo però in seguito su Twitter che tale scoperta "dovrebbe essere soggetta a un premio superiore", del valore di 2 milioni di dollari.

Nessun problema, solo un bridge da 470 mm di dollari con lo stesso contratto Inbox.Sicuramente dovrebbe essere idoneo a ricevere il massimo della ricompensa.— riptide (@0xriptide) September 20, 2022

No big deal just bridging a cool $470mm through the same Inbox contractDefinitely should be eligible for a max bounty— riptide (@0xriptide) September 20, 2022

Né Arbitrum né la sua società creatrice OffChain Labs hanno commentato pubblicamente l'exploit, Cointelegraph ha contattato OffChain Labs per un commento ma non ha ricevuto risposta immediata.

Arbitrum è una soluzione layer-2 Optimistic Rollup per Ethereum, che raggruppa batch di transazioni prima di inviarle alla rete Ethereum, nel tentativo di minimizzare la congestione della rete e risparmiare sulle commissioni. Il 31 agosto è stato lanciato Arbitrum Nitro, un aggiornamento volto a semplificare la comunicazione tra Arbitrum ed Ethereum e ad aumentare il throughput delle transazioni con commissioni inferiori.

Quest'anno gli attacchi a bridge con uno sviluppo simile hanno avuto successo, in particolare i 100 milioni di dollari rubati dal Bridge di Horizon a giugno e il recente incidente del bridge di token Nomad ad agosto, che ha visto 190 milioni di dollari prosciugati dagli hacker iniziali e dai "copycat" che hanno ripetuto l'exploit.

Source

Subscribe to get our top stories

Coin News
App StoreApp Store