Un hacker autodefinitosi "white hat" ha scoperto una "vulnerabilità multimilionaria" nel bridge che collega Ethereum e Arbitrum Nitro, ricevendo un premio di 400 Ether (ETH) per la sua scoperta.

Conosciuto come Riptide su Twitter, l'hacker ha descritto l'exploit come l'uso di una funzione di inizializzazione per impostare il proprio indirizzo bridge, che avrebbe dirottato tutti i depositi ETH in arrivo da chi cercava di trasferire fondi da Ethereum ad Arbitrum Nitro.

Riptide ha spiegato l'exploit in un post del 20 settembre su Medium:

"Potremmo mirare selettivamente ai grandi depositi di ETH rimanendo nascosti per un periodo di tempo più lungo, trafugare ogni singolo deposito che passa attraverso il bridge, oppure aspettare e fare un front-run del prossimo enorme deposito di ETH".

L'hack avrebbe potuto potenzialmente fruttare decine o addirittura centinaia di milioni di ETH, dato che il deposito più grande registrato da Riptide nella casella di posta era di 168.000 ETH, per un valore di oltre 225 milioni di dollari, e i depositi tipici variavano da 1000 a 5000 ETH in un periodo di 24 ore, per un valore compreso tra 1,34 e 6,7 milioni di dollari.

Nonostante il potenziale guadagno derivante dall'hack, Riptide ha ringraziato il "team Arbitrum, estremamente preparato", che ha erogato un premio di 400 ETH, per un valore di oltre 536.500$, aggiungendo però in seguito su Twitter che tale scoperta "dovrebbe essere soggetta a un premio superiore", del valore di 2 milioni di dollari.

Nessun problema, solo un bridge da 470 mm di dollari con lo stesso contratto Inbox.

Sicuramente dovrebbe essere idoneo a ricevere il massimo della ricompensa.

https://t.co/w7S58QNQZu

— riptide (@0xriptide) September 20, 2022

Né Arbitrum né la sua società creatrice OffChain Labs hanno commentato pubblicamente l'exploit, Cointelegraph ha contattato OffChain Labs per un commento ma non ha ricevuto risposta immediata.

Correlato: ETHW conferma l'exploit della vulnerabilità del contratto, ma esclude le voci di un attacco replay

Arbitrum è una soluzione layer-2 Optimistic Rollup per Ethereum, che raggruppa batch di transazioni prima di inviarle alla rete Ethereum, nel tentativo di minimizzare la congestione della rete e risparmiare sulle commissioni. Il 31 agosto è stato lanciato Arbitrum Nitro, un aggiornamento volto a semplificare la comunicazione tra Arbitrum ed Ethereum e ad aumentare il throughput delle transazioni con commissioni inferiori.

Quest'anno gli attacchi a bridge con uno sviluppo simile hanno avuto successo, in particolare i 100 milioni di dollari rubati dal Bridge di Horizon a giugno e il recente incidente del bridge di token Nomad ad agosto, che ha visto 190 milioni di dollari prosciugati dagli hacker iniziali e dai "copycat" che hanno ripetuto l'exploit.