Buzz
Một tài khoản Twitter có tên “riptide” đã đăng bài viết về một lỗ hổng trong kết nối giữa Ethereum và Arbitrum Nitro.
Hacker mũ trắng này sau đó đã liên hệ với đội ngũ Arbitrum để xử lý lỗ hổng và nhận phần thưởng bug bounty trên ImmuneFi.
Theo đó, lỗ hổng này có thể cho phép hacker đánh cắp toàn bộ lượng ETH được nạp vào cầu nối giữa Layer-1 (tức mainnet Ethereum) và Layer-2 (ở đây là phiên bản Arbitrum Nitro).
Hacker mũ trắng này cho biết, hàm initialize() hỗ trợ người dùng ký giao dịch và gửi yêu cầu mã hoá đến cho các Sequencer (đơn vị xác thực) đã gặp một vài lỗ hổng. 2 không gian lưu trữ đầu tiên (vị trí 0 và 1) của hàm này có giá trị rỗng, đồng nghĩa với việc hacker có thể mạo danh người dùng từ đó gửi tin nhắn xác thực đến cho Sequencer.
Lỗ hổng liên quan đến initialization này trước đó đã xuất hiện trong hợp đồng thông minh của Nomad.
Rất may mắn, lỗ hổng này nhanh chóng được đội ngũ Arbitrum nhận biết và phần thưởng 400 ETH đã được gửi đến hacker mũ trắng nói trên.
Mytour
