Der White-Hat-Hacker ist der Meinung, dass seine Entdeckung die volle maximale Kopfgeldprämie von $2 Millionen verdient, statt nur 400 ETH.
Riptide, ein White-Hat-Hacker, der eine Schwachstelle auf Arbitrum entdeckte, twitterte, dass seine Entdeckung für die maximale Kopfgeldprämie von 2 Millionen Dollar in Frage käme, anstatt der 400 ETH (53.000 Dollar), die er erhielt.
Keine große Sache, nur die Überbrückung von $470mm durch den gleichen Inbox-Vertrag 👀.
Sollte auf jeden Fall für ein maximales Kopfgeld in Frage kommen
– riptide (@0xriptide) September 20, 2022
Ethereum-Skalierungstool Arbitrum entkam einem millionenschweren Hack, nachdem der Hacker eine Schwachstelle in der Brücke entdeckte, die das Layer2-Netzwerk mit dem ETH-Mainnet verbindet. Die Schwachstelle betraf die Art und Weise, wie Transaktionen im Netzwerk eingereicht und verarbeitet werden, und hätte es böswilligen Spielern ermöglicht, alle Gelder zu stehlen, die an das Layer2-Netzwerk gesendet werden
Die Sicherheitslücke
Laut dem White-Hat-Hacker konnten die über die Brücke auf Arbitrum eingehenden Transaktionen von böswilligen Spielern gekapert werden, die ihre Adresse als Empfängeradresse einrichten konnten.
Riptide fuhr fort, dass ein solcher Exploit lange Zeit unentdeckt hätte bleiben können, wenn der Hacker nur große ETH-Einzahlungen ins Visier genommen hätte, oder er hätte einfach die nächste große ETH-Einzahlung angreifen können.
Angesichts der Tatsache, dass die größte Einzahlung auf den Posteingangskontrakt in den letzten 24 Stunden 168.000 ETH (250 Millionen Dollar) betrug, hätte die Ausnutzung der Schwachstelle zu einem Verlust von Hunderten von Millionen führen können.
Kopfgeldbelohnung
Während Riptide zunächst Arbitrum für die 400 ETH Belohnung lobte, twitterte der White-Hat-Hacker später, dass seine Arbeit das maximale Kopfgeld von 2 Millionen Dollar verdiene.
Riptide sagte:
„Ich will damit sagen, dass, wenn man ein Kopfgeld von 2 Millionen Dollar ausschreibt, man bereit sein sollte, es zu zahlen, wenn es gerechtfertigt ist. Andernfalls sagen Sie einfach, dass das maximale Kopfgeld 400 ETH beträgt und das war’s. Hacker beobachten, welche Projekte ausbezahlt werden und welche nicht. IMO ist es keine gute Idee, einen Whitehat dazu zu bewegen, Blackhat zu werden. „
Die neuen Kommentare von Riptide erfolgten, nachdem ein Twitter-Nutzer gezeigt hatte, dass die Brücke kürzlich für den Transfer von über 400 Millionen Dollar genutzt wurde.
Ich mache das noch einmal, da mein anderer Zitat-Tweet vom Tweeter zensiert wurde. Der Arbitrum-Bridge-Bug ist der kritische Bridge-Bug 3, der durch schlechte Initialisierer verursacht wird, falls wir noch einen Grund brauchten, um die Initialisierer loszuwerden. Überrascht, dass Arbitrum nur 400 ETH bezahlt hat und nicht das maximale Kopfgeld bei Einlagen wie: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
– smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) September 20, 2022
Die Ausnutzung von Brücken ist derzeit eines der größten Sicherheitsprobleme in der Kryptoindustrie. Angriffe auf Brücken haben allein im vergangenen Jahr zu einem Verlust von fast 1 Milliarde Dollar geführt.
