Riptide, valkoinen hattuhakkeri, joka löysi Arbitrumissa haavoittuvuuden, twiittasi, että hänen löytönsä oli oikeutettu enintään 2 miljoonan dollarin palkkioon 400:n sijaan. ETH (53,000 XNUMX dollaria) palkkion hän sai.
Ei mikään iso juttu, kun vain 470 mm:n dollaria saa saman Inbox-sopimuksen läpi 👀
Ehdottomasti pitäisi olla oikeutettu maksimipalkkioon
— riptide (@0xriptide) Syyskuu 20, 2022
Ethereumin skaalaustyökalu Arbitrum pakeni usean miljoonan dollarin hakkeroinnista sen jälkeen, kun hakkeri havaitsi haavoittuvuuden sillassa, joka yhdistää layer2-verkon ETH:n verkkoon. Haavoittuvuus vaikutti siihen, miten tapahtumat lähetetään ja käsitellään verkossa, ja se olisi sallinut haitallisten pelaajien varastaa kaikki layer2-verkkoon lähetetyt varat.
Haavoittuvuus
Mukaan valkohattu-hakkeri havaitsi, että ilkeät pelaajat voivat kaapata Arbitrumille sillan kautta saapuvat tapahtumat, jotka voivat asettaa osoitteensa vastaanottajaosoitteeksi.
Riptide jatkoi, että tällainen hyväksikäyttö olisi voinut jäädä havaitsematta pitkään, jos hakkeri olisi kohdistanut vain suuriin ETH-talletuksiin, tai he olisivat voineet vain ajaa seuraavan suuren ETH-talletuksen eteen.
Ottaen huomioon, että postilaatikon sopimuksen suurin talletus viimeisen 24 tunnin aikana oli 168,000 250 ETH (XNUMX miljoonaa dollaria), haavoittuvuuden hyödyntäminen olisi voinut johtaa satojen miljoonien menetyksiin.
Bounty palkinto
Vaikka Riptide alun perin ylisti Arbitumia 400 ETH:n palkinnosta, valkoinen hattuhakkeri twiittasi myöhemmin, että hänen työnsä ansaitsi suurimman 2 miljoonan dollarin palkkion.
Ristiaallokko sanoi:
"Minun pointtini on, että jos lähetät 2 miljoonan dollarin palkkion – ole valmis maksamaan se, kun se on perusteltua. Muuten sano vain, että enimmäispalkkio on 400 ETH ja tee se. Hakkerit tarkkailevat, mitkä projektit maksavat ja mitkä eivät. IMO ei ole hyvä idea kannustaa valkohattua käyttämään mustahattua."
Riptiden uudet kommentit tehtiin sen jälkeen, kun Twitter-käyttäjä osoitti, että siltaa käytettiin äskettäin yli 400 miljoonan dollarin siirtämiseen.
Teen tämän uudelleen, koska diskantti sensuroi toisen lainaukseni. Arbitrum-siltavika on kriittinen siltavirhe #3, joka johtuu huonoista alustuksista, jos tarvitsisimme toisen syyn päästä eroon alustuksista. Yllättynyt Arbitrum maksoi vain 400 ETH:ta eikä maksimipalkkiota talletuksista, kuten: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
— smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) Syyskuu 20, 2022
Samaan aikaan siltahyödynnät ovat yksi suurimmista turvallisuusongelmista kryptoteollisuudessa tällä hetkellä. Hyökkäykset siltoja ovat johtaneet pois lähes miljardi dollaria pelkästään viime vuonna.
Lähde: https://cryptoslate.com/white-hat-hacker-grumbles-over-arbitrum-bounty-reward-after-saving-network-from-475m-loss/