Riptide, en white hat hacker som oppdaget en sårbarhet på Arbitrum, tvitret at funnet hans var kvalifisert for den maksimale dusørbelønningen på $2 millioner i stedet for 400 ETH ($53,000 XNUMX) belønning han fikk.
Ingen big deal bare å bygge bro over en kul $470 mm gjennom den samme Inbox-kontrakten 👀
Bør definitivt være kvalifisert for en maksimal dusør
— riptide (@0xriptide) September 20, 2022
Ethereum-skaleringsverktøyet Arbitrum slapp unna et hack på flere millioner dollar etter at hackeren oppdaget en sårbarhet i broen som koblet layer2-nettverket til ETHs hovednett. Sårbarheten påvirket hvordan transaksjoner sendes inn og behandles på nettverket og ville ha tillatt ondsinnede spillere å stjele alle midlene som ble sendt til lag2-nettverket.
Sårbarheten
Ifølge for white hat-hackeren kan innkommende transaksjoner til Arbitrum gjennom broen bli kapret av ondsinnede spillere som kan angi adressen deres som mottakeradresse.
Riptide fortsatte at en slik utnyttelse kunne ha vært uoppdaget i lang tid hvis hackeren kun siktet mot store ETH-innskudd, eller de kunne bare ha kjørt det neste store ETH-innskuddet.
Gitt at det største innskuddet på innbokskontrakten de siste 24 timene var 168,000 250 ETH ($XNUMX millioner), kunne utnyttelse av sårbarheten ha ført til et tap på hundrevis av millioner.
Dusørbelønning
Mens Riptide først berømmet Arbitrum for 400 ETH-belønningen, twitret hackeren med hvite hatter senere at arbeidet hans fortjente den maksimale dusøren på 2 millioner dollar.
Riptide sa:
«Poenget mitt er at hvis du legger ut en dusør på 2 mm – vær forberedt på å betale den når det er berettiget. Ellers er det bare å si at den maksimale dusøren er 400 ETH og være ferdig med det. Hackere ser på hvilke prosjekter som betaler ut og hvilke som ikke gjør det. IMO er ikke en god idé å oppmuntre en hvithatt til å bli svarthatt.»
Riptides nye kommentarer ble laget etter at en Twitter-bruker viste at broen nylig ble brukt til å overføre over 400 millioner dollar.
Gjør dette igjen siden min andre sitat-tweet ble sensurert av tweeter. Arbitrum-brofeil er kritisk brofeil #3 forårsaket av dårlige initialiserere, i tilfelle vi trengte en annen grunn til å bli kvitt initialisatorene. Overrasket Arbitrum betalte bare 400 ETH og ikke maksimal dusør gitt innskudd som: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
— smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) September 20, 2022
I mellomtiden er broutnyttelser en av de største sikkerhetsproblemene i kryptoindustrien for tiden. Angrep på broer har ført til tap på nesten 1 milliard dollar bare det siste året.
Kilde: https://cryptoslate.com/white-hat-hacker-grumbles-over-arbitrum-bounty-reward-after-saving-network-from-475m-loss/