Hacker ontdekt enorme fout van $500 miljoen in Ethereum brug

Een zogeheten “white hat” hacker ontdekte gisteren een enorme fout in de cross-chain bridge tussen Ethereum (ETH) en Arbitrum. Via deze brug kunnen gebruikers ETH sturen naar Arbitrum, een layer-2 schalingsnetwerk voor Ethereum.

De ‘ethische’ hacker, genaamd ‘Riptide,’ vond een manier om het adres van de brug over te nemen. Onbewuste gebruikers zouden dan hun ETH niet naar Arbitrum sturen, maar naar het adres van de hacker.

Riptide meldt dat de kwetsbaarheid over het hoofd werd gezien toen Arbitrum pushte voor goedkopere transacties. De hacker zegt dat de kwetsbaarheid met een enkele regel aan code kon worden opgelost.

De kwetsbaarheid had kunnen leiden tot een gigantisch verlies. De grootste storting bedroeg maar liefst 168.000 ETH, momenteel zo’n $220 miljoen waard. Er worden regelmatig stortingen gedaan en Riptide meldt dat het totale bedrag tot zelfs $470 miljoen had kunnen oplopen.

No big deal just bridging a cool $470mm through the same Inbox contract 👀

Definitely should be eligible for a max bounty

🤯 https://t.co/w7S58QNQZu

— riptide (@0xriptide) September 20, 2022

Hacker ontvangt beloning, maar is niet blij

Voor zijn inspanningen ontving de hacker een beloning van 400 ETH, ter waarde van zo’n $520.000. In eerste instantie was Riptide dankbaar, maar later zegt de hacker dat Arbitrum de maximale beloning had moeten overhandigen van $2 miljoen.

Riptide had wellicht ook de optie om het totale bedrag te stelen en om een beloning van 10% te vragen, namelijk $47 miljoen: “The white hat dilemma,” noemt de hacker het. Dat had in een keer gekund, of in kleine beetjes om niet op te vallen, beweert Riptide.

Gisteren was nog op Crypto Insiders te lezen over een hacker die $160 miljoen stal van DeFi platform Wintermute. De oprichter hoopt nog steeds dat het om een white hat hacker gaat en biedt hem inderdaad 10% van het gestolen bedrag aan als hij de rest terugstuurt.

Cross-chain bruggen zijn al vaker het doelwit dit jaar. Van de zomer werd werd nog $200 miljoen van Nomad gestolen. Volgens Chainalysis hebben hackers dit jaar al minstens $2 miljard buitgemaakt met dit soort “bridge hacks.”

Kevin Schijven is sinds mei 2018 werkzaam bij Crypto Insiders en vervult daar de rol van (eind)redacteur. Met een achtergrond in ICT en bedrijfskunde, gevolgd door rechten en criminologie aan de Vrije Universiteit, brengt hij een unieke mix van vaardigheden mee. Zijn interesse in cryptocurrency ontstond door de potentie om een bedrijf op te bouwen rond nieuwe technologie. Kevin heeft inmiddels duizenden artikelen geschreven en is gespecialiseerd in het laatste crypto nieuws.