Riptide, hacker s bílým kloboukem, který objevil zranitelnost na Arbitrum, tweetoval, že jeho nález má nárok na maximální odměnu ve výši 2 milionů dolarů namísto 400 ETH (53,000 XNUMX $) odměnu, kterou dostal.
Žádný velký problém, jen překlenout skvělých 470 mm prostřednictvím stejné smlouvy Inbox 👀
Rozhodně by měl mít nárok na maximální odměnu
– riptide (@0xriptide) Září 20, 2022
Nástroj pro škálování Etherea Arbitrum unikl mnohamilionovému hacku poté, co hacker zahlédl zranitelnost v mostu spojujícím síť layer2 s hlavní sítí ETH. Tato chyba zabezpečení ovlivnila způsob odesílání a zpracování transakcí v síti a umožnila by zlomyslným hráčům ukrást všechny prostředky odeslané do sítě vrstvy2.
Zranitelnost
Podle pro bílého hackera by příchozí transakce do Arbitrum přes most mohly být uneseny zákeřnými hráči, kteří by mohli nastavit jejich adresu jako adresu příjemce.
Riptide pokračoval, že takový exploit mohl zůstat dlouho nezjištěný, pokud by se hacker zaměřoval pouze na velká ložiska ETH, nebo by mohli rovnou spustit další velké ložisko ETH.
Vzhledem k tomu, že největší vklad na kontraktu doručené pošty za posledních 24 hodin byl 168,000 250 ETH (XNUMX milionů dolarů), mohlo zneužití zranitelnosti vést ke ztrátě stovek milionů.
Bounty odměna
Zatímco Riptide zpočátku chválil Arbitrum za odměnu 400 ETH, hacker bílého klobouku později tweetoval, že jeho práce si zaslouží maximální odměnu 2 miliony dolarů.
Riptide řekl:
„Chci říct, že pokud odešlete odměnu 2 mm – buďte připraveni ji zaplatit, až bude oprávněná. Jinak stačí říct, že maximální odměna je 400 ETH a hotovo. Hackeři sledují, které projekty se vyplatí a které ne. IMO není dobrý nápad podněcovat bělocha, aby šel na černo."
Nové komentáře Riptide byly učiněny poté, co uživatel Twitteru ukázal, že most byl nedávno použit k převodu více než 400 milionů dolarů.
Dělám to znovu, protože můj další citátový tweet byl cenzurován tweeterem. Chyba mostu Arbitrum je kritická chyba mostu č. 3 způsobená špatnými inicializátory pro případ, že bychom potřebovali další důvod, proč se inicializátorů zbavit. Surprised Arbitrum zaplatilo pouze 400 ETH a ne maximální odměnu za vklady jako: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
— smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) Září 20, 2022
Zneužití mostů je v současnosti jedním z největších bezpečnostních problémů v kryptoprůmyslu. Útoky na mosty vedly k pryč jen za poslední rok téměř 1 miliardu dolarů.
Zdroj: https://cryptoslate.com/white-hat-hacker-grumbles-over-arbitrum-bounty-reward-after-saving-network-from-475m-loss/