Un hacker white-hat encuentra una gran vulnerabilidad en el puente de ETH a Arbitrum

Un hacker que se autodenomina de sombrero blanco o white-hat ha descubierto una "vulnerabilidad multimillonaria" en el puente que une Ethereum y Arbitrum Nitro y ha recibido una recompensa de 400 Ether (ETH) por su hallazgo.

Conocido como riptide en Twitter, el hacker describió el exploit como el uso de una función de inicialización para establecer su propia dirección de puente, lo que secuestraría todos los depósitos entrantes de ETH de aquellos que intentan puentear fondos de Ethereum a Arbitrum Nitro.

Riptide explicó el exploit en un post de Medium el martes:

“Podríamos apuntar selectivamente a los grandes depósitos de ETH para no ser detectados durante un período de tiempo más largo, desviar cada uno de los depósitos que llegan a través del puente, o esperar y simplemente adelantar el próximo depósito masivo de ETH.”
El hackeo podría haber supuesto decenas o incluso cientos de millones de ETH, ya que la mayor racha de depósitos registrada en la bandeja de entrada fue de 168,000 ETH por un valor de más de USD 225 millones, y los depósitos típicos oscilaban entre 1,000 y 5,000 ETH en un periodo de 24 horas, con un valor de entre USD 1.34 y USD 6.7 millones.
Riptide agradeció que el "equipo de Arbitrum extremadamente basado" proporcionara una recompensa de 400 ETH, por un valor de más de USD 536,500. Sin embargo, añadió más tarde en Twitter que un hallazgo así "debería ser elegible para una recompensa máxima", cuyo valor sería de USD 2 millones.

"No es un gran problema el hecho de que el mismo contrato de la bandeja de entrada haya supuesto un puente de USD 470 millones. Definitivamente debería ser elegible para una recompensa máxima"

Ni Arbitrum ni su empresa creadora, OffChain Labs, han hecho comentarios públicamente sobre el exploit; Cointelegraph se puso en contacto con OffChain Labs para pedirle comentarios, pero no obtuvo respuesta inmediata.

Arbitrum es una solución de Optimistic Rollup de la capa 2 de Ethereum, que agrupa lotes de transacciones antes de enviarlos a la red Ethereum en un esfuerzo por minimizar la congestión de la red y ahorrar en tarifas. El 31 de agosto se lanzó Arbitrum Nitro, una actualización destinada a simplificar la comunicación entre Arbitrum y Ethereum, así como a aumentar el rendimiento de las transacciones con tarifas más bajas.

Este año, los explotadores han tenido éxito en el robo de puentes de estilo similar, en particular, los USD 100 millones robados del puente Horizon en junio y el reciente incidente del puente de tokens Nomad en agosto, en el que los hackers originales y los "imitadores" que repitieron el exploit sustrajeron USD 190 millones.

Fuente: https://cordoba.gob.ar/wp-content/uploads/2022/09/Presentaci%C3%B3n-Grilla-Escenario-Principal-Feria-del-Libro-Presentaci%C3%B3n-169-6.pdf