Riptide, heker z belim klobukom, ki je odkril ranljivost na Arbitrumu, je tvitnil, da je njegova najdba upravičena do največje nagrade v višini 2 milijonov dolarjev namesto 400 ETH (53,000 $) nagrade, ki jo je prejel.
Nič hudega, samo premostite dobrih 470 mm USD z isto pogodbo za Inbox 👀
Vsekakor bi moral biti upravičen do največje nagrade
— riptide (@0xriptide) September 20, 2022
Orodje za skaliranje Ethereum Arbitrum se je izognilo večmilijonskemu vdoru, potem ko je heker opazil ranljivost v mostu, ki povezuje omrežje layer2 z glavnim omrežjem ETH. Ranljivost je vplivala na način predložitve in obdelave transakcij v omrežju in bi zlonamernim igralcem omogočila krajo vseh sredstev, poslanih v omrežje layer2.
Ranljivost
Po hekerju z belim klobukom bi lahko dohodne transakcije Arbitrumu prek mostu ugrabili zlonamerni igralci, ki bi lahko svoj naslov nastavili kot naslov prejemnika.
Riptide je nadaljeval, da bi takšno izkoriščanje lahko dolgo časa ostalo neodkrito, če bi heker ciljal le na velike depozite ETH, ali pa bi lahko samo napovedal naslednji večji depozit ETH.
Glede na to, da je največji depozit v pogodbi o prejetih sporočilih v zadnjih 24 urah znašal 168,000 ETH (250 milijonov USD), bi lahko izkoriščanje ranljivosti povzročilo izgubo več sto milijonov.
Bounty nagrada
Medtem ko je Riptide sprva pohvalil Arbitrum za nagrado 400 ETH, je heker z belim klobukom pozneje tvitnil, da si njegovo delo zasluži največjo nagrado v višini 2 milijona dolarjev.
Riptide je dejal:
»Hočem reči, da če objavite nagrado v višini 2 mm $, bodite pripravljeni, da jo plačate, ko je upravičena. V nasprotnem primeru povejte, da je najvišja nagrada 400 ETH in zaključite s tem. Hekerji opazujejo, kateri projekti se izplačajo in kateri ne. IMO ni dobra ideja, da bi belega klobuka spodbudili k črnemu klobuku.«
Novi komentarji družbe Riptide so bili podani potem, ko je uporabnik Twitterja pokazal, da je bil most nedavno uporabljen za prenos več kot 400 milijonov dolarjev.
To počnem znova, odkar je tviteraš cenzuriral moj drugi citatni tvit. Premostitveni hrošč Arbitrum je kritičen premostitveni hrošč št. 3, ki ga povzročajo slabi inicializatorji, če bi potrebovali še en razlog, da se znebimo inicializatorjev. Presenečeni Arbitrum je plačal samo 400 ETH in ne največje nagrade za vloge, kot so: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
— smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) September 20, 2022
Medtem so izkoriščanja mostov eden največjih varnostnih pomislekov v kripto industriji trenutno. Napadi na mostove so privedli do off skoraj 1 milijardo dolarjev samo v zadnjem letu.
Vir: https://cryptoslate.com/white-hat-hacker-grumbles-over-arbitrum-bounty-reward-after-saving-network-from-475m-loss/