Riptide, een white hat-hacker die een kwetsbaarheid op Arbitrum ontdekte, tweette dat zijn vondst in aanmerking kwam voor de maximale premie van $ 2 miljoen in plaats van de 400 ETH ($ 53,000) beloning die hij kreeg.
Geen probleem, gewoon een coole $ 470 mm overbruggen via hetzelfde Inbox-contract
Zou zeker in aanmerking moeten komen voor een maximale premie
— vloedgolf (@0xriptide) 20 september 2022
Ethereum-schaaltool Arbitrum ontsnapte aan een hack van miljoenen dollars nadat de hacker een kwetsbaarheid ontdekte in de brug die het layer2-netwerk met het ETH-mainnet verbindt. De kwetsbaarheid had invloed op de manier waarop transacties op het netwerk worden ingediend en verwerkt en zou kwaadwillende spelers in staat hebben gesteld al het geld dat naar het layer2-netwerk werd gestuurd, te stelen.
De kwetsbaarheid
Volgens voor de white hat-hacker kunnen inkomende transacties naar Arbitrum via de bridge worden gekaapt door kwaadwillende spelers die hun adres als het adres van de ontvanger kunnen instellen.
Riptide vervolgde dat een dergelijke exploit lange tijd onopgemerkt had kunnen blijven als de hacker zich alleen op grote ETH-deposito's had gericht, of dat ze gewoon de volgende grote ETH-storting hadden kunnen uitvoeren.
Aangezien de grootste storting op het inboxcontract in de afgelopen 24 uur 168,000 ETH ($ 250 miljoen) was, had het misbruiken van de kwetsbaarheid kunnen leiden tot een verlies van honderden miljoenen.
Bounty beloning
Terwijl Riptide Arbitrum aanvankelijk prees voor de 400 ETH-beloning, tweette de white hat-hacker later dat zijn werk de maximale premie van $ 2 miljoen verdiende.
stortvloed zei:
"Mijn punt is dat als je een premie van $ 2 mm plaatst - wees bereid om het te betalen wanneer het gerechtvaardigd is. Zeg anders gewoon dat de maximale premie 400 ETH is en klaar ermee. Hackers kijken welke projecten uitbetalen en welke niet. IMO geen goed idee om een whitehat te stimuleren om blackhat te worden.”
De nieuwe opmerkingen van Riptide werden gemaakt nadat een Twitter-gebruiker aantoonde dat de brug onlangs werd gebruikt om meer dan $ 400 miljoen over te maken.
Ik doe dit opnieuw sinds mijn andere quote-tweet werd gecensureerd door tweeter. Arbitrum bridge-bug is kritieke bridge-bug #3 die wordt veroorzaakt door slechte initializers, voor het geval we nog een reden nodig hadden om initializers te verwijderen. Surprised Arbitrum betaalde slechts 400 ETH en niet de maximale premie gegeven stortingen zoals: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
— smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) 20 september 2022
Ondertussen zijn bridge-exploits momenteel een van de grootste beveiligingsproblemen in de crypto-industrie. Aanvallen op bruggen hebben geleid tot de uit van bijna $ 1 miljard in het afgelopen jaar alleen.
Bron: https://cryptoslate.com/white-hat-hacker-grumbles-over-arbitrum-bounty-reward-after-saving-network-from-475m-loss/