Riptide, hacker s bielym klobúkom, ktorý objavil zraniteľnosť na Arbitrum, tweetoval, že jeho nález mal nárok na maximálnu odmenu 2 milióny dolárov namiesto 400 ETH (53,000 XNUMX dolárov) dostal odmenu.
Žiadna veľká vec, len preklenúť skvelých 470 mm cez rovnakú zmluvu Inbox 👀
Určite by mal mať nárok na maximálnu odmenu
- riptide (@0xriptide) September 20, 2022
Nástroj na škálovanie Ethereum Arbitrum unikol mnohomiliónovému hacku po tom, čo hacker zistil zraniteľnosť v moste spájacom sieť layer2 s mainnetom ETH. Zraniteľnosť ovplyvnila spôsob odosielania a spracovania transakcií v sieti a umožnila by hráčom so zlými úmyslami ukradnúť všetky prostriedky odoslané do siete vrstvy 2.
Zraniteľnosť
Podľa hackerovi s bielym klobúkom môžu byť prichádzajúce transakcie na Arbitrum cez most unesené zlomyseľnými hráčmi, ktorí by mohli nastaviť svoju adresu ako adresu príjemcu.
Riptide pokračoval, že takéto zneužitie mohlo zostať dlho nezistené, ak by sa hacker zameral iba na veľké vklady ETH, alebo by mohli len predbehnúť ďalší veľký depozit ETH.
Vzhľadom na to, že najväčší vklad na zmluve o doručenej pošte za posledných 24 hodín bol 168,000 250 ETH (XNUMX miliónov dolárov), využitie tejto zraniteľnosti mohlo viesť k strate stoviek miliónov.
Bounty odmena
Zatiaľ čo Riptide spočiatku chválil Arbitrum za odmenu 400 ETH, hacker s bielym klobúkom neskôr tweetoval, že jeho práca si zaslúži maximálnu odmenu 2 milióny dolárov.
Riptide povedal:
„Chcem povedať, že ak odošlete odmenu vo výške 2 mm – buďte pripravení zaplatiť ju, keď bude opodstatnená. V opačnom prípade povedzte, že maximálna odmena je 400 ETH a hotovo. Hackeri sledujú, ktoré projekty sa vyplácajú a ktoré nie. IMO nie je dobrý nápad podnecovať bieleho klobúka, aby sa stal čiernym klobúkom.“
Nové komentáre Riptide sa objavili po tom, čo používateľ Twitteru ukázal, že most bol nedávno použitý na prevod viac ako 400 miliónov dolárov.
Robím to znova, pretože môj ďalší citátový tweet bol cenzurovaný tweeterom. Chyba mosta Arbitrum je kritická chyba mosta č. 3 spôsobená zlými inicializátormi pre prípad, že by sme potrebovali ďalší dôvod na odstránenie inicializátorov. Prekvapený Arbitrum zaplatil iba 400 ETH a nie maximálnu odmenu za vklady ako: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
— smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) September 20, 2022
Využitie mostov je v súčasnosti jedným z najväčších bezpečnostných problémov v kryptopriemysle. Útoky na mosty viedli k strata len za posledný rok takmer 1 miliardu dolárov.
Zdroj: https://cryptoslate.com/white-hat-hacker-grumbles-over-arbitrum-bounty-reward-after-saving-network-from-475m-loss/