19 сентября Arbitrum, одно из самых популярных решений уровня 2 для Ethereum, заплатило 400 ETH (около 560,000 XNUMX долларов США) хакеру в белой шляпе, который обнаружил потенциальную уязвимость в его коде.
Хакер в белой шляпе, известный в Твиттере как Riptide, находит уязвимости в смарт-контрактах, написанных на Solidity. Анаклузмос — сказал «Многомиллионная уязвимость» потенциально может затронуть любого, кто захочет обменять средства из Ethereum на Arbitrum Nitro.
Ничего страшного, просто перекинуть крутые 470 миллионов долларов по тому же контракту Inbox 👀
Определенно должен иметь право на максимальную награду
— риптид (@0xriptide) 20 сентября, 2022
Arbitrum предотвратил миллионы долларов убытков
Хакер тщательно просканировал код Arbitrum Nitro за несколько недель до его выпуска, проверив контракты, чтобы «убедиться, что обновление было успешным».
После модернизация, Riptide заметил некоторые ошибки, которые мешали корректной работе моста. При дальнейшем осмотре Riptide заметил, что секвенсор входящих сообщений испытывает задержку.
«Клиент может отправить сообщение Sequencer, подписав и опубликовав транзакцию L1 в папке «Отложенные входящие» цепочки Arbitrum. Эта функция чаще всего используется для внесения ETH или токенов через мост».
После повторного сканирования контракта Riptide подтвердил, что ошибка секвенсора входящих сообщений допустила критическую уязвимость в контракте, благодаря которой Riptide или другой злонамеренный хакер мог получить миллионы долларов, перенаправляя входящие депозиты ETH с моста L1 на мост L2 в свои кошельки, прежде чем их обнаружили. .
Мой отчет об ошибке в отношении критической уязвимости, которую я обнаружил на Arbitrum Nitro, которая позволила злоумышленнику украсть все входящие депозиты ETH на мост L1-> L2.
https://t.co/WuR4RYUL3L@icodeblockchain @samiamka2 @Mudit__Гупта @0xРекрутер @BowTiedCrocodil @BowTiedDevil— риптид (@0xriptide) 20 сентября, 2022
Однако Riptide решил сообщить об уязвимости и вместо этого подать заявку на вознаграждение, которое, к их удивлению, составило всего 400 ETH вместо вознаграждения в размере 2 миллионов долларов, предлагаемого Arbitrum в качестве максимального уровня. Получив вознаграждение, хакер заявил, что оно не соответствует важности ошибки и связанному с ней риску.
Я хочу сказать, что если вы публикуете вознаграждение в размере 2 миллионов долларов, будьте готовы заплатить его, когда это будет оправдано. В противном случае просто скажите, что максимальная награда составляет 400 ETH, и покончим с этим.
Хакеры следят за тем, какие проекты окупаются, а какие нет
ИМО не лучшая идея, чтобы мотивировать белого шляпу стать черным.
— риптид (@0xriptide) 20 сентября, 2022
Стоит отметить, что в марте 2022 года Arbitrum стал жертвой эксплуатировать в котором хакер или группа хакеров украли более 100 NFT у TreasureDAO на сумму не менее 1.4 миллиона долларов.
Белые хакеры: прибыльный бизнес в криптостране
Независимый аудит имеет огромное значение в криптоэкосистеме. В течение года несколько платформ решили выплачивать вознаграждение белым хакерам, которые сообщают о потенциальных уязвимостях в их коде или смарт-контрактах.
Например, в середине февраля Coinbase заплатил «крупнейшая награда в своей истории» (250,000 XNUMX долларов США) хакеру по имени «Дерево Альфа» за то, что он спас их от потери в миллиард долларов из-за недостатка в функции «Расширенная торговля».
В то время Tree of Alpha был благодарен за платеж, заявив, что он может сослужить ему хорошую службу на пенсии; однако, как и Riptide, он отметил, что «более высокая награда могла бы быть разумной, чтобы удержать больше серых шляп от использования уязвимостей».
Кроме того, Джей «Саурик» Фриман, который работает с децентрализованным VPN-протоколом Orchid и является легендой в Сообщество по джейлбрейку iOS-получили более 2 миллионов долларов за сообщение об уязвимости в Optimism, «решении для масштабирования уровня 2» для Ethereum.
Binance Free $ 100 (Эксклюзив): Используйте эту ссылку, зарегистрироваться и получить 100 долларов бесплатно и 10% скидку на Binance Futures в первый месяц (terms).
Специальное предложение PrimeXBT: Используйте эту ссылку, зарегистрироваться и ввести код POTATO50, чтобы получить до 7,000 долларов США на свои депозиты.
Источник: https://cryptopotato.com/arbitrum-rewards-hacker-with-400-eth-for-detecting-a-critical-400m-vulnerability/