Хакерът с бяла шапка вярва, че откритието му заслужава пълната награда от максимум 2 милиона долара, а не само 400 ETH.
Riptide, хакер с бяла шапка, открил уязвимост в Arbitrum, написа в Twitter, че откритието му отговаря на изискванията за максимална награда от 2 млн. долара, вместо за получената награда от 400 ETH (53 000 долара).
Не е голяма работа, просто прехвърлих 470 млн. долара чрез един и същ договор с Inbox 👀
Определено трябва да има право на максимална награда
– riptide (@0xriptide) September 20, 2022
Инструментът за мащабиране на Етериум Arbitrum избегна хакерска атака на стойност няколко милиона долара, след като хакерът забеляза уязвимост в моста, свързващ мрежата от слой 2 с основната мрежа на ETH. Уязвимостта засягаше начина, по който се подават и обработват транзакциите в мрежата, и щеше да позволи на злонамерени играчи да откраднат всички средства, изпратени към мрежата на слой2.
Уязвимостта
Според хакера с бяла шапка входящите транзакции към Arbitrum през моста биха могли да бъдат отвлечени от злонамерени играчи, които биха могли да зададат своя адрес като адрес на получателя.
Riptide продължава, че подобна експлойт атака би могла да остане незабелязана дълго време, ако хакерът се е насочил само към големи депозити на ETH, или просто да е фронт-рантирал следващия голям депозит на ETH.
Като се има предвид, че най-големият депозит на входящия договор през последните 24 часа е 168 000 ETH (250 млн. долара), използването на уязвимостта би могло да доведе до загуба на стотици милиони.
Награда за възнаграждение
Въпреки че Riptide първоначално похвали Arbitrum за наградата от 400 ETH, по-късно хакерът с бяла шапка написа в Twitter, че работата му заслужава максималната награда от 2 млн. долара.
Riptide каза:
„Искам да кажа, че ако обявите награда от 2 млн. долара, бъдете готови да я платите, когато тя е оправдана. В противен случай просто кажете, че максималната награда е 400 ETH и приключете с нея. Хакерите наблюдават кои проекти изплащат и кои не. ИМо не е добра идея да се стимулират белите хакери да станат черни хакери.“
Новите коментари на Riptide бяха направени, след като потребител на Twitter показа, че мостът наскоро е бил използван за прехвърляне на над 400 млн. долара.
Давам това отново, тъй като другият ми туит с цитати беше цензуриран от туитър. Бъгът на моста Arbitrum е критичен бъг на мост № 3, причинен от лоши инициализатори, в случай че имаме нужда от още една причина да се отървем от инициализаторите. Изненадан, че Arbitrum плати само 400 ETH, а не максималната награда, като се имат предвид депозити като: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
– smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) September 20, 2022
Междувременно експлойтите на мостове са един от най-големите проблеми на сигурността в криптоиндустрията в момента. Само през изминалата година атаките срещу мостове са довели до загубата на почти 1 млрд. долара.