Mae haciwr het wen hunan-ddisgrifiedig wedi datgelu “bregusrwydd miliynau o ddoleri” yn y bont sy'n cysylltu Ethereum ac Arbitrum Nitro ac wedi derbyn Ether 400 (ETH) bounty am eu darganfyddiad.
Yn cael ei adnabod fel riptide ar Twitter, disgrifiodd yr haciwr y camfanteisio fel y defnydd o swyddogaeth gychwynnol i osod eu cyfeiriad pont eu hunain, a fyddai'n herwgipio'r holl adneuon ETH sy'n dod i mewn oddi wrth y rheini ceisio pontio arian o Ethereum i Arbitrwm Nitre.
Riptide esbonio y camfanteisio mewn post Canolig ddydd Mawrth:
“Gallem naill ai dargedu dyddodion ETH mawr yn ddetholus i aros heb eu canfod am gyfnod hirach o amser, seiffon i fyny pob blaendal sy’n dod drwy’r bont, neu aros a rhedeg y blaendal ETH enfawr nesaf yn unig.”
Gallai'r darnia fod wedi rhwydo gwerth degau neu hyd yn oed gannoedd o filiynau o ETH, gan mai'r riptide blaendal mwyaf a gofnodwyd yn y mewnflwch oedd 168,000 ETH gwerth dros $225 miliwn, ac roedd adneuon nodweddiadol yn amrywio o 1000 i 5000 ETH mewn cyfnod o 24 awr, gwerth rhwng $1.34 a $6.7 miliwn.
Er gwaethaf y potensial i ennill yn sgil yr enillion annoeth, roedd Riptide yn ddiolchgar bod y “tîm Arbitrum hynod ei sylfaen” wedi darparu bounty 400 ETH, gwerth dros $536,500. Fodd bynnag, fe wnaethant ychwanegu yn ddiweddarach ar Twitter y dylai darganfyddiad o’r fath “fod yn gymwys i gael y bounty mwyaf,” sef gwerth $ 2 miliwn.
Dim ond pontio $470mm cŵl drwy'r un contract Mewnflwch
Yn bendant, dylai fod yn gymwys i gael uchafswm bounty
— riptide (@0xriptide) Medi 20, 2022
Nid yw Arbitrum na'i gwmni creawdwr OffChain Labs wedi gwneud sylwadau cyhoeddus ar y camfanteisio; Cysylltodd Cointelegraph â OffChain Labs am sylw ond ni chlywodd yn ôl ar unwaith.
Cysylltiedig: Mae ETHW yn cadarnhau ecsbloetio bregusrwydd contract, yn gwrthod honiadau o ymosodiad ailchwarae
Mae Arbitrum yn ddatrysiad Rollup Optimistaidd haen-2 ar gyfer Ethereum, gan glystyru sypiau o drafodion cyn eu cyflwyno i rwydwaith Ethereum mewn ymdrech i leihau tagfeydd rhwydwaith ac arbed ffioedd. Arbitrum Nitro ei lansio ar Awst 31ain, uwchraddiad gyda'r nod o symleiddio cyfathrebu rhwng Arbitrum ac Ethereum, yn ogystal â chynyddu ei trwybwn trafodion am ffioedd is.
Mae haciau pont arddull tebyg wedi bod yn llwyddiannus i ecsbloetwyr eleni, yn arbennig, y $100 miliwn wedi'i ddwyn o Bont Horizon ym mis Mehefin a digwyddiad diweddar pont tocyn Nomad ym mis Awst, pan ddraeniwyd $190 miliwn gan yr un gwreiddiol a “copycat” hacwyr ailadrodd y camfanteisio.
Ffynhonnell: https://cointelegraph.com/news/white-hat-finds-huge-vulnerability-in-eth-to-arbitrum-bridge-wen-max-bounty