Riptide, хакер в белой шляпе, обнаруживший уязвимость в Arbitrum, написал в твиттере, что за его находку полагается максимальное вознаграждение в размере 2 миллионов долларов, а не 400 ETH (53 000 долларов), которые он получил.
Ничего особенного, просто соединяем крутые $470 млн через тот же контракт Inbox 👀.
Определенно должен претендовать на максимальное вознаграждение.
- riptide (@0xriptide) 20 сентября 2022 г.
Инструмент масштабирования Ethereum Arbitrum избежал многомиллионного взлома после того, как хакер обнаружил уязвимость в мосту, соединяющем сеть layer2 с мейннетом ETH. Уязвимость повлияла на порядок подачи и обработки транзакций в сети и позволила бы злоумышленникам украсть все средства, отправленные в сеть layer2.
Уязвимость
По словам хакера в белой шляпе, входящие транзакции в Arbitrum через мост могут быть перехвачены злоумышленниками, которые могут установить свой адрес в качестве адреса получателя.
Riptide продолжает, что такой эксплойт мог оставаться незамеченным в течение долгого времени, если хакер нацеливался только на крупные ETH-депозиты, или же он мог просто перехватить следующий крупный ETH-депозит.
Учитывая, что самый крупный депозит на контракте inbox за последние 24 часа составил 168 000 ETH (250 миллионов долларов), эксплуатация уязвимости могла привести к потере сотен миллионов.
Награда за щедрость
Хотя Riptide сначала похвалил Arbitrum за вознаграждение в 400 ETH, хакер в белой шляпе позже написал в Твиттере, что его работа заслуживает максимального вознаграждения в 2 миллиона долларов.
сказал Риптид:
"Я хочу сказать, что если вы объявляете награду в $2 млн, будьте готовы заплатить ее, когда это будет оправдано. В противном случае просто скажите, что максимальная сумма вознаграждения составляет 400 ETH, и покончите с этим. Хакеры следят за тем, какие проекты платят, а какие нет. IMO не очень хорошая идея стимулировать "белых хат" к переходу в "черные хаты".
Новые комментарии Riptide были сделаны после того, как один из пользователей Twitter показал, что мост недавно использовался для перевода более 400 миллионов долларов.
Делаю это снова, поскольку мой другой твит с цитатой был отцензурирован твиттером. Ошибка моста Arbitrum - это критическая ошибка моста #3, вызванная плохими инициализаторами, на случай, если нам нужна еще одна причина, чтобы избавиться от инициализаторов. Удивлен, что Arbitrum выплатил только 400 ETH, а не максимальное вознаграждение, учитывая такие депозиты, как: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
- smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) 20 сентября 2022 г.
Между тем, мостовые эксплойты являются одной из самых больших проблем безопасности в криптоиндустрии в настоящее время. Только за последний год атаки на мосты привели к потере почти 1 миллиарда долларов.
Олувапелуми верит в преобразующую силу Биткойна и индустрии блокчейна.
