Белый хакер поблагодарил Arbitrium за вознаграждение в 400 ETH, но отметил, что за найденную им уязвимость полагается максимальное вознаграждение в размере почти 1500 ETH (около 2 млн долларов).
Хакер, известный в Twitter под ником Riptide, обнаружил ошибку в коде моста, соединяющего Ethereum и Arbitrum Nitro, и получил за это вознаграждение в размере 400 ETH.
Riptide обнаружил место в программе, где злоумышленник мог бы установить свой собственный адрес для приема всех входящих депозитов в ETH.
«Мы могли либо выборочно нацелиться на крупные депозиты ETH, чтобы оставаться незамеченными в течение более длительного периода времени, либо перехватывать каждый депозит, проходящий через мост, либо ждать и просто опережать следующий крупный депозит ETH», - написал программист на Medium.
Взлом потенциально мог бы принести злоумышленнику десятки или даже сотни миллионов ETH. Самый большой депозит, зарегистрированный в контракте, который мог быть украден, составлял 168 тыс. ETH (около 225 млн. долларов), не говоря о нескольких других, размером от 1000 до 5000 ETH, отправленных в течение 24 часов.
Arbitrum - это решение второго уровня для Ethereum, объединяющее партии транзакций перед отправкой их в сеть Ethereum с целью минимизации перегруженности сети и экономии на комиссиях. 31 августа был запущен Arbitrum Nitro - обновление, которое упрощает взаимодействия между Arbitrum и Ethereum.
В этом году уже зафиксировано несколько взломов кроссчейн-мостов. В июне с моста Horizon было похищено 100 млн долларов, а в августе с моста Nomad было выведено 190 млн долларов из-за уязвимостей в коде.
