Riptide, en white hat hacker, der opdagede en sårbarhed på Arbitrum, tweetede, at hans fund var berettiget til den maksimale dusørbelønning på $2 millioner i stedet for de 400 ETH ($53,000) belønning, han fik.
Ingen big deal bare at bygge bro mellem en cool $470 mm gennem den samme Inbox-kontrakt 👀
Bør bestemt være berettiget til en maksimal dusør
— riptide (@0xriptide) September 20, 2022
Ethereum-skaleringsværktøjet Arbitrum undslap et hack på flere millioner dollar, efter at hackeren opdagede en sårbarhed i broen, der forbinder layer2-netværket til ETHs hovednet. Sårbarheden påvirkede, hvordan transaktioner indsendes og behandles på netværket og ville have gjort det muligt for ondsindede spillere at stjæle alle de penge, der blev sendt til layer2-netværket.
Sårbarheden
Ifølge for den hvide hat-hacker, kunne indgående transaktioner til Arbitrum gennem broen blive kapret af ondsindede spillere, der kunne indstille deres adresse som modtageradresse.
Riptide fortsatte med, at en sådan udnyttelse kunne være gået uopdaget i lang tid, hvis hackeren kun var rettet mod store ETH-indskud, eller de kunne bare have kørt den næste store ETH-deponering.
I betragtning af, at den største indbetaling på indbakkekontrakten i de sidste 24 timer var 168,000 ETH ($250 millioner), kunne udnyttelse af sårbarheden have ført til et tab på hundredvis af millioner.
Bounty belønning
Mens Riptide oprindeligt roste Arbitrum for 400 ETH-belønningen, tweetede hackeren med hvid hat senere, at hans arbejde fortjente den maksimale dusør på $2 millioner.
Riptide sagde:
"Min pointe er, at hvis du sender en dusør på 2 mm - vær parat til at betale den, når det er berettiget. Ellers skal du bare sige, at den maksimale dusør er 400 ETH og være færdig med det. Hackere ser, hvilke projekter der udbetales, og hvilke der ikke gør. IMO er ikke en god idé at tilskynde en whitehat til at blive blackhat.”
Riptides nye kommentarer blev fremsat efter en Twitter-bruger viste, at broen for nylig blev brugt til at overføre over 400 millioner dollars.
Gør dette igen, da mit andet citat-tweet blev censureret af tweeter. Arbitrum-brofejl er kritisk brofejl #3 forårsaget af dårlige initialiseringer, hvis vi skulle bruge en anden grund til at slippe af med initialiseringsprogrammer. Surprised Arbitrum betalte kun 400 ETH og ikke max dusør givet indskud som: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
— smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) September 20, 2022
I mellemtiden er broudnyttelser en af de største sikkerhedsproblemer i kryptoindustrien i øjeblikket. Angreb på broer har ført til off af næsten 1 milliard dollar alene i det seneste år.
Kilde: https://cryptoslate.com/white-hat-hacker-grumbles-over-arbitrum-bounty-reward-after-saving-network-from-475m-loss/