แฮ็กเกอร์หมวกขาวที่อธิบายในสิ่งที่ตัวเองได้ค้นพบ “ช่องโหว่มูลค่าหลายล้านดอลลาร์” ใน bridge ที่เชื่อมโยงถึง Ethereum และ Arbitrum Nitro และได้รับเงินรางวัล 400 Ether (ETH) สำหรับการค้นพบของพวกเขา
แฮ็กเกอร์ที่รู้จักกันในชื่อ riptide บน Twitter อธิบายว่าการหาประโยชน์ดังกล่าวเป็นการใช้ฟังก์ชันเริ่มต้นเพื่อตั้งค่าที่อยู่ bridge ของตนเอง ซึ่งจะ hijack เงินฝาก ETH ที่เข้ามาทั้งหมดจากผู้ที่พยายามเชื่อมโยงเงินจาก Ethereum ไปยัง Arbitrum Nitro
Riptide อธิบายการใช้ประโยชน์ใน Medium post เมื่อวันที่ 20 กันยายน:
“เราสามารถเลือกกำหนดเป้าหมายเงินฝาก ETH ขนาดใหญ่เพื่อไม่ให้ถูกตรวจพบเป็นระยะเวลานาน ดูดเงินฝากทุกรายการที่เข้ามาทาง bridge หรือรอและดำเนินการฝาก ETH จำนวนมากครั้งต่อไป”
การแฮ็กอาจทำให้มูลค่า ETH สุทธิได้หลายสิบหรือหลายร้อยล้าน เนื่องจากการฝากเงินที่ใหญ่ที่สุดที่บันทึกไว้ในกล่องจดหมายคือ 168,000 ETH มูลค่ากว่า 225 ล้านดอลลาร์ และเงินฝากทั่วไปมีตั้งแต่ 1,000 ถึง 5,000 ETH ในระยะเวลา 24 ชั่วโมง ระหว่าง 1.34 ถึง 6.7 ล้านดอลลาร์
แม้จะมีศักยภาพในการสร้างรายได้จากการได้กำไรที่ไม่ดี riptide รู้สึกขอบคุณที่ “ทีม Arbitrum ที่มีพื้นฐานสูง” ให้เงินรางวัล 400 ETH มูลค่ากว่า 536,500 ดอลลาร์ อย่างไรก็ตาม พวกเขาได้เพิ่มในภายหลังบน Twitter ว่าการค้นหาดังกล่าว “ควรมีสิทธิ์ได้รับเงินรางวัลสูงสุด ” ซึ่งมีมูลค่า 2 ล้านเหรียญ
No big deal just bridging a cool $470mm through the same Inbox contract 👀
— riptide (@0xriptide) September 20, 2022
Definitely should be eligible for a max bounty
🤯 https://t.co/w7S58QNQZu
ทั้ง Arbitrum และบริษัทผู้สร้าง OffChain Labs ไม่ได้แสดงความเห็นต่อสาธารณะเกี่ยวกับการหาประโยชน์ดังกล่าว Cointelegraph ได้ติดต่อ OffChain Labs เพื่อขอความคิดเห็นแต่ไม่ได้รับการตอบกลับในทันที
Arbitrum เป็นโซลูชัน Rollup Optimistic layer-2 สำหรับ Ethereum โดยจัดกลุ่มธุรกรรมเป็นกลุ่มก่อนที่จะส่งไปยังเครือข่าย Ethereum เพื่อลดความแออัดของเครือข่ายและประหยัดค่าธรรมเนียม Arbitrum Nitro เปิดตัวเมื่อวันที่ 31 สิงหาคม การอัพเกรดมีวัตถุประสงค์เพื่อลดความซับซ้อนในการสื่อสารระหว่าง Arbitrum และ Ethereum รวมทั้งเพิ่มปริมาณการทำธุรกรรมด้วยค่าธรรมเนียมที่ต่ำกว่า
ที่มา : cointelegraph
