Arbitrum apbalvo hakeru ar 400 ETH par kritiskas 400 miljonu ASV dolāru ievainojamības atklāšanu

19. septembrī Arbitrum, viens no populārākajiem Ethereum 2. slāņa risinājumiem, samaksāja 400 ETH (apmēram 560,000 XNUMX USD) balto cepuru hakeram, kurš atrada iespējamu ievainojamību savā kodā.

Balto cepuru hakeris, kas pakalpojumā Twitter pazīstams kā Riptide, atrod ievainojamības viedajos līgumos, kas rakstīti programmā Solidity. Riptīds teica "vairāku miljonu dolāru ievainojamība" potenciāli varētu ietekmēt ikvienu, kas vēlas apmainīt līdzekļus no Ethereum uz Arbitrum Nitro.

Nav nekāds lielais darījums, vienkārši pārvarot 470 mm $, izmantojot to pašu Inbox līgumu 👀

Noteikti jābūt tiesīgam saņemt maksimālu balvu

🤯 https://t.co/w7S58QNQZu

— riptide (@0xriptide) Septembris 20, 2022

Arbitrum novērsa miljoniem dolāru zaudējumus

Hakeris rūpīgi skenēja Arbitrum Nitro kodu dažas nedēļas pirms tā izlaišanas, pārbaudot līgumus, lai viņi varētu "redzēt, vai atjauninājums ir bijis veiksmīgs".

Pēc tam, kad jauninājums, Riptide pamanīja dažas kļūdas, kas traucēja tiltam darboties pareizi. Veicot turpmāku pārbaudi, Riptide pamanīja, ka iesūtnes sekvenceris ir aizkavējies.

“Klients var nosūtīt ziņojumu Sequencer, parakstot un publicējot L1 transakciju Arbitrum ķēdes Aizkavēto iesūtnē. Šo funkcionalitāti visbiežāk izmanto ETH vai žetonu noguldīšanai, izmantojot tiltu.

Pēc līguma atkārtotas skenēšanas Riptide apstiprināja, ka iesūtnes sekvencēra kļūda pieļāva kritisku ievainojamību līgumā, ar kuru Riptide vai kāds cits ļaunprātīgs hakeris varēja iegūt miljoniem dolāru, novirzot ienākošos ETH noguldījumus no L1 uz L2 tiltu savos makos, pirms tie tika atklāti. .

Mans kļūdu ieraksts par kritisko ievainojamību, ko atklāju vietnē Arbitrum Nitro, kas ļāva uzbrucējam nozagt visus ienākošos ETH noguldījumus uz tilta L1->L2.
https://t.co/WuR4RYUL3L@icodeblockchain @samiamka2 @Mudit__Gupta @0xRecruiter @BowTiedCrocodil @BowTiedDevil

— riptide (@0xriptide) Septembris 20, 2022

Tomēr Riptide nolēma ziņot par ievainojamību un tā vietā pieteikties atlīdzībai, kas viņiem par pārsteigumu bija tikai 400 ETH, nevis 2 miljonu ASV dolāru atlīdzība Arbitrum, ko piedāvāja kā tā maksimālo līmeni. Saņemot atlīdzību, hakeris iebilda, ka tas neatbilst kļūdas nozīmīgumam un ar to saistītajam riskam.

Mana doma ir tāda, ka, ja jūs ievietojat 2 miljonu dolāru atlīdzību, esiet gatavs to samaksāt, kad tas ir pamatoti. Pretējā gadījumā vienkārši sakiet, ka maksimālā balva ir 400 ETH, un beidziet ar to.

Hakeri skatās, kuri projekti atmaksājas un kuri ne

IMO nav laba ideja mudināt balto cepuri izvēlēties melno cepuri

— riptide (@0xriptide) Septembris 20, 2022

Ir vērts pieminēt, ka 2022. gada martā Arbitrum kļuva par upuri an izmantot kurā hakeris vai hakeru grupa no TreasureDAO nozaga vairāk nekā 100 NFT, un tās vērtība ir vismaz 1.4 miljoni ASV dolāru.

White Hat Hackers: ienesīgs bizness Kriptozemē

Kripto ekosistēmā liela nozīme ir neatkarīgai revīzijai. Gada laikā vairākas platformas ir izvēlējušās maksāt prēmijas balto cepuru hakeriem, kuri ziņo par iespējamām ievainojamībām savā kodā vai viedajos līgumos.

Piemēram, februāra vidū Coinbase samaksāts “lielākā balva tās vēsturē” (250,000 XNUMX $) hakeram ar nosaukumu “Alfa koks”, lai izglābtu viņus no miljarda dolāru zaudējumiem “Advanced Trading” funkcijas trūkuma dēļ.

Tajā laikā Tree of Alpha bija pateicīgs par maksājumu, norādot, ka tas varētu viņam labi kalpot pensijā; tomēr, tāpat kā Riptide, viņš atzīmēja, ka "lielāka balva varētu būt bijusi gudra, lai atturētu vairāk pelēko cepuru no ievainojamību izmantošanas".

Arī Džejs “Sauriks” Frīmens, kurš strādā ar decentralizēto VPN protokolu Orchid un ir leģenda iOS jailbreak kopienaSākot nosaņēma vairāk nekā 2 miljonus ASV dolāru lai ziņotu par ievainojamību programmā Optimism — Ethereum “2. slāņa mērogošanas risinājums”.