Riptide, белый хакер, обнаруживший уязвимость в Arbitrum, написал в Твиттере, что его находка имеет право на максимальное вознаграждение в размере 2 миллионов долларов вместо 400. ETH ($53,000 XNUMX) вознаграждение, которое он получил.
Ничего страшного, просто перекинуть крутые 470 миллионов долларов по тому же контракту Inbox 👀
Определенно должен иметь право на максимальную награду
— риптид (@0xriptide) 20 сентября, 2022
Инструмент масштабирования Ethereum Arbitrum избежал многомиллионного взлома после того, как хакер обнаружил уязвимость в мосту, соединяющем сеть уровня 2 с основной сетью ETH. Уязвимость повлияла на отправку и обработку транзакций в сети и позволила бы злоумышленникам украсть все средства, отправленные в сеть уровня 2.
Уязвимость
По Для хакера в белой шляпе входящие транзакции в Arbitrum через мост могли быть перехвачены злоумышленниками, которые могли установить свой адрес в качестве адреса получателя.
Riptide продолжил, что такой эксплойт мог остаться незамеченным в течение длительного времени, если бы хакер нацелился только на крупные депозиты ETH, или они могли бы просто опережать следующий крупный депозит ETH.
Учитывая, что самый большой депозит по контракту входящих сообщений за последние 24 часа составил 168,000 250 ETH (XNUMX миллионов долларов), использование уязвимости могло привести к потере сотен миллионов.
Бонусная награда
В то время как Riptide первоначально хвалил Arbitrum за вознаграждение в размере 400 ETH, хакер в белой шляпе позже написал в Твиттере, что его работа заслуживает максимальной награды в размере 2 миллионов долларов.
Разрывное течение — сказал:
«Я хочу сказать, что если вы публикуете вознаграждение в размере 2 миллионов долларов, будьте готовы заплатить его, когда это будет оправдано. В противном случае просто скажите, что максимальная награда составляет 400 ETH, и покончим с этим. Хакеры следят за тем, какие проекты окупаются, а какие нет. ИМО не лучшая идея — мотивировать белого человека стать черным».
Новые комментарии Riptide были сделаны после того, как пользователь Twitter показал, что мост недавно использовался для перевода более 400 миллионов долларов.
Делаю это снова, так как мой другой твит с цитатой был подвергнут цензуре твиттером. Ошибка моста Arbitrum — это критическая ошибка моста № 3, вызванная плохими инициализаторами, на случай, если нам понадобится еще одна причина, чтобы избавиться от инициализаторов. Удивленный Arbitrum заплатил только 400 ETH, а не максимальную награду за депозиты, такие как: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
— smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) 20 сентября, 2022
Между тем, эксплойты моста в настоящее время являются одной из самых больших проблем безопасности в криптоиндустрии. Нападения на мосты привели к от почти 1 миллиард долларов только за последний год.
Источник: https://cryptoslate.com/white-hat-hacker-grumbles-over-arbitrum-bounty-reward-after-saving-network-from-475m-loss/