Kendini beyaz şapkalı olarak tanımlayan bir hacker, Ethereum ve Arbitrum Nitro’yu bağlayan köprüde “milyon dolarlık güvenlik zafiyeti” tespit etti ve karşılığında 400 Ether (ETH) yazılım hatası bulma ödülü aldı.
Twitter’da “riptide” olarak bilinen hacker, güvenlik zafiyeti sayesinde kötü amaçlı kişilerin başlatma işlevini kullanarak kendi köprü adreslerini oluşturabileceklerini, bunun da Ethereum’dan Arbitrum Nitro’ya köprü kullanarak fon aktarmak isteyenlere ait tüm ETH’leri ele geçirebileceğini söyledi.
Riptide, zafiyeti 20 Eylül tarihli Medium gönderisiyle açıkladı:
“Uzun süredir gizli kalmak için bilerek yüklü ETH işlemlerini hedef alabilir, köprüden geçen tüm yatırma işlemlerini hortumlayabilir veya bekleyip bir sonraki büyük ETH yatırma işlemine saldırabiliriz.”
Böyle bir siber saldırı düzenlenmesi halinde, onlar ve hatta yüzlerce milyon ETH çalınabilir. Riptide’a gelen en büyük işlem ise, 225 milyon doların üzerinde değerde 168 bin ETH içeriyordu. 24 saatlik dönemde yapılan yatırma işlemlerinin boyutu genel olarak 1000 ile 5000 ETH, yani 1,34 milyon dolar ile 6,7 milyon dolar arasında değişiyordu.
Riptide, “son derece makul Arbitrum ekibine” 400 ETH, yani yaklaşık 536 bin dolar ödül için teşekkür etti. Yine de beyaz şapkalı hacker, bu tür bir hata tespitinin maksimum ödülü hak ettiğini düşündüğünü ekledi.
No big deal just bridging a cool $470mm through the same Inbox contract
Definitely should be eligible for a max bounty
https://t.co/w7S58QNQZu
— riptide (@0xriptide) September 20, 2022
Ne Arbitrum ne de çatı şirketi OffChain Labs, güvenlk zafiyetine ilişkin açıklamada bulunmadı. Cointelegraph, OffChain Labs ile iletişime geçmeye çalıştı fakat yanıt alamadı.
