Hacker s bílým kloboukem se domnívá, že jeho objev si zaslouží plnou odměnu ve výši maximálně 2 milionů dolarů místo pouhých 400 ETH.
Riptide, white hat hacker, který objevil zranitelnost v systému Arbitrum, na Twitteru napsal, že jeho nález má nárok na maximální odměnu 2 miliony dolarů místo odměny 400 ETH (53 000 USD), kterou dostal.
Nic velkého, jen překlenutí skvělých 470 milionů dolarů prostřednictvím stejné smlouvy Inbox 👀.
Rozhodně by měl mít nárok na maximální odměnu.
– riptide (@0xriptide) 20. září 2022
Nástroj pro škálování Etherea Arbitrum unikl hackerskému útoku v hodnotě několika milionů dolarů poté, co si hacker všiml zranitelnosti v mostu spojujícím síť Layer2 s mainnetem ETH. Zranitelnost ovlivňovala způsob odesílání a zpracování transakcí v síti a umožňovala by zlomyslným hráčům ukrást všechny prostředky odeslané do sítě layer2.
Zranitelnost
Podle hackera s bílým kloboukem mohli příchozí transakce do Arbitrum přes most unést zlomyslní hráči, kteří mohli nastavit svou adresu jako adresu příjemce.
Riptide pokračoval, že takové zneužití mohlo zůstat dlouho neodhaleno, pokud by se hacker zaměřil pouze na velké vklady ETH, nebo by mohl jen front-rankovat další velký vklad ETH.
Vzhledem k tomu, že největší vklad na inbox kontrakt za posledních 24 hodin činil 168 000 ETH (250 milionů dolarů), mohlo zneužití zranitelnosti vést ke ztrátě stovek milionů.
Odměna za odměnu
Zatímco Riptide zpočátku Arbitrum za odměnu 400 ETH chválil, white hat hacker později na Twitteru napsal, že jeho práce si zaslouží maximální odměnu 2 miliony dolarů.
Riptide řekl:
„Chci tím říct, že pokud vypisujete odměnu 2 miliony dolarů – buďte připraveni ji zaplatit, když je to oprávněné. V opačném případě prostě řekněte, že maximální odměna je 400 ETH a hotovo. Hackeři sledují, které projekty se vyplatí a které ne. IMO není dobrý nápad motivovat whitehata, aby se stal blackhatem.“
Nové komentáře společnosti Riptide byly učiněny poté, co uživatel Twitteru ukázal, že most byl nedávno použit k převodu více než 400 milionů dolarů.
Dělám to znovu, protože můj další tweet s citací byl cenzurován tweeterem. Chyba mostu Arbitrum je kritická chyba mostu 3 způsobená špatnými inicializátory, kdybychom potřebovali další důvod, proč se zbavit inicializátorů. Překvapilo mě, že Arbitrum vyplatilo pouze 400 ETH a ne maximální odměnu vzhledem k vkladům jako např: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
– smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) 20. září 2022
Mezitím jsou zneužití můstků v současnosti jedním z největších bezpečnostních problémů v kryptografickém průmyslu. Útoky na můstky vedly jen v minulém roce ke ztrátě téměř 1 miliardy dolarů.