Riptide, egy fehérkalapos hacker, aki egy sebezhetőséget fedezett fel az Arbitrumon, a Twitteren azt írta, hogy lelete a 2 helyett legfeljebb 400 millió dolláros fejpénzre jogosult. ETH (53,000 XNUMX dollár) jutalmat kapott.
Nem nagy ügy, csak áthidalni a 470 millió dollárt ugyanazon az Inbox-szerződésen keresztül 👀
Feltétlenül jogosultnak kell lennie a maximális jutalomra
— riptide (@0xriptide) 20. szeptember 2022.
Az Ethereum skálázóeszköze, az Arbitrum megúszta a több millió dolláros feltörést, miután a hacker sebezhetőséget észlelt a layer2 hálózatot az ETH főhálózatával összekötő hídon. A sebezhetőség befolyásolta a tranzakciók hálózaton történő benyújtását és feldolgozását, és lehetővé tette volna a rosszindulatú játékosok számára, hogy ellopják a layer2 hálózatba küldött összes pénzt.
A sebezhetőség
Szerint a fehérkalapos hacker számára a hídon keresztül az Arbitrumba beérkező tranzakciókat eltéríthetik a rosszindulatú játékosok, akik címüket állíthatják be címzett címként.
Riptide folytatta, hogy egy ilyen kizsákmányolás hosszú ideig észrevétlen maradhatott volna, ha a hacker csak nagy ETH-lerakódásokat céloz meg, vagy csak előfuthatta volna a következő nagyobb ETH-lerakódást.
Tekintettel arra, hogy az elmúlt 24 órában a postafiókszerződés legnagyobb összege 168,000 250 ETH (XNUMX millió dollár) volt, a sérülékenység kihasználása több száz milliós veszteséget is okozhatott volna.
Bounty jutalom
Míg Riptide eleinte dicsérte az Arbitrumot a 400 ETH jutalomért, a fehérkalapos hacker később azt írta Twitteren, hogy munkája megérdemli a maximum 2 millió dolláros jutalmat.
Dagály mondott:
„Az a célom, hogy ha 2 milliméter dolláros jutalmat adsz ki – legyen kész kifizetni, amikor az indokolt. Ellenkező esetben mondd azt, hogy a maximális jutalom 400 ETH, és kész. A hackerek figyelik, mely projektek fizetnek ki és melyek nem. Az IMO nem jó ötlet arra ösztönözni a fehérkalapot, hogy válasszon fekete kalapot.”
A Riptide új megjegyzéseit azután tette közzé, hogy egy Twitter-felhasználó kimutatta, hogy a hidat nemrégiben több mint 400 millió dollár átutalására használták.
Megint ezt, mivel a másik idézet tweetemet a magassugárzó cenzúrázta. Az Arbitrum hídhiba a 3. számú kritikus hídhiba, amelyet a rossz inicializálók okoznak, arra az esetre, ha más okra lenne szükségünk az inicializálók megszabadulására. A Meglepett Arbitrum csak 400 ETH-t fizetett, és nem a maximális jutalmat, mint például: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
— smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) 20. szeptember 2022.
Eközben a híd kihasználása a kriptoiparban jelenleg az egyik legnagyobb biztonsági probléma. A hidak elleni támadások a le csak az elmúlt évben csaknem 1 milliárd dollárt tett ki.
Forrás: https://cryptoslate.com/white-hat-hacker-grumbles-over-arbitrum-bounty-reward-after-saving-network-from-475m-loss/