Riptids, balto cepuru hakeris, kurš atklāja ievainojamību vietnē Arbitrum, tviterī paziņoja, ka viņa atradums var pretendēt uz maksimālo atlīdzību 2 miljonu dolāru apmērā 400 vietā. ETH (53,000 XNUMX USD) atlīdzību viņš saņēma.
Nav nekāds lielais darījums, vienkārši pārvarot 470 mm $, izmantojot to pašu Inbox līgumu 👀
Noteikti jābūt tiesīgam saņemt maksimālu balvu
— riptide (@0xriptide) Septembris 20, 2022
Ethereum mērogošanas rīks Arbitrum izvairījās no vairāku miljonu dolāru uzlaušanas pēc tam, kad hakeris pamanīja ievainojamību tiltā, kas savieno layer2 tīklu ar ETH galveno tīklu. Ievainojamība ietekmēja to, kā tīklā tiek iesniegti un apstrādāti darījumi, un tā būtu ļāvusi ļaunprātīgiem spēlētājiem nozagt visus uz layer2 tīklu nosūtītos līdzekļus.
Ievainojamība
Atbilstoši baltās cepures hakeris, ienākošos darījumus Arbitrum caur tiltu varēja nolaupīt ļaunprātīgi spēlētāji, kuri varēja iestatīt savu adresi kā saņēmēja adresi.
Riptide turpināja, ka šāda izmantošana ilgu laiku varēja palikt nepamanīta, ja hakeris būtu mērķējis tikai uz lieliem ETH noguldījumiem, vai arī viņi vienkārši būtu veikuši nākamo lielāko ETH noguldījumu.
Ņemot vērā, ka pēdējās 24 stundās lielākais depozīts iesūtnes līgumā bija 168,000 250 ETH (XNUMX miljoni USD), ievainojamības izmantošana varēja radīt simtiem miljonu zaudējumus.
Bounty atlīdzība
Kamēr Riptide sākotnēji slavēja Arbitrum par 400 ETH atlīdzību, balto cepuru hakeris vēlāk tviterī paziņoja, ka viņa darbs ir pelnījis maksimālo atlīdzību 2 miljonu dolāru apmērā.
riptide teica:
“Mana doma ir tāda, ka, ja jūs ievietojat 2 miljonu dolāru prēmiju, esiet gatavs to maksāt, kad tas ir pamatoti. Pretējā gadījumā vienkārši sakiet, ka maksimālā balva ir 400 ETH, un beidziet ar to. Hakeri skatās, kuri projekti atmaksājas un kuri ne. IMO nav laba ideja mudināt balto cepuri izvēlēties melno cepuri.
Riptide jaunie komentāri tika izteikti pēc tam, kad kāds Twitter lietotājs parādīja, ka tilts nesen tika izmantots vairāk nekā 400 miljonu dolāru pārskaitīšanai.
Daru to vēlreiz, jo tweeter cenzēja manu citu citātu tvītu. Arbitrum tilta kļūda ir kritiska tilta kļūda Nr. 3, ko izraisa slikti inicializatori, ja mums ir nepieciešams cits iemesls, lai atbrīvotos no inicializatoriem. Pārsteigtais Arbitrum maksāja tikai 400 ETH, nevis maksimālo prēmiju, piemēram: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
— smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) Septembris 20, 2022
Tikmēr tiltu izmantošana šobrīd ir viena no lielākajām drošības problēmām kriptovalūtu nozarē. Uzbrukumi tiltiem ir noveduši pie no gandrīz USD 1 miljards tikai pagājušajā gadā.
Avots: https://cryptoslate.com/white-hat-hacker-grumbles-over-arbitrum-bounty-reward-after-saving-network-from-475m-loss/