Le white hat hacker estime que sa découverte mérite la récompense maximale de 2 millions de dollars au lieu de seulement 400 ETH.
Riptide, un white hat hacker qui a découvert une vulnérabilité sur Arbitrum, a tweeté que sa découverte était éligible pour la récompense maximale de 2 millions de dollars au lieu des 400 ETH (53 000 $) qu’il a obtenus.
No big deal just bridging a cool $470mm through the same Inbox contract 👀
Il devrait certainement être éligible pour une prime maximale.
– riptide (@0xriptide) September 20, 2022
L’outil de mise à l’échelle d’Arbitrum a échappé à un piratage de plusieurs millions de dollars après que le pirate ait repéré une vulnérabilité dans le pont reliant le réseau layer2 au mainnet de l’ETH. La vulnérabilité affectait la façon dont les transactions sont soumises et traitées sur le réseau et aurait permis à des joueurs malveillants de voler tous les fonds envoyés au réseau layer2.
La vulnérabilité
Selon le pirate en chapeau blanc, les transactions entrantes vers Arbitrum via le pont pouvaient être détournées par des joueurs malveillants qui pouvaient définir leur adresse comme adresse du destinataire.
Riptide a poursuivi en disant qu’un tel exploit aurait pu passer inaperçu pendant longtemps si le pirate n’avait ciblé que les gros dépôts d’ETH, ou s’il s’était contenté d’attaquer le prochain gros dépôt d’ETH.
Étant donné que le plus gros dépôt sur le contrat inbox au cours des dernières 24 heures était de 168 000 ETH (250 millions de dollars), l’exploitation de la vulnérabilité aurait pu entraîner une perte de centaines de millions.
Récompense pour la prime
While Riptide a d’abord fait l’éloge d’Arbitrum pour la récompense de 400 ETH, le hacker white hat a ensuite tweeté que son travail méritait la prime maximale de 2 millions de dollars.
Riptide a déclaré:
« Ce que je veux dire, c’est que si vous affichez une prime de 2 millions de dollars, soyez prêt à la payer lorsqu’elle est justifiée. Sinon, il suffit de dire que la prime maximale est de 400 ETH et d’en finir. Les pirates observent les projets qui paient et ceux qui ne paient pas. Ce n’est pas une bonne idée d’inciter un whitehat à devenir blackhat »
Les nouveaux commentaires de Riptide ont été faits après qu’un utilisateur de Twitter ait montré que le pont a récemment été utilisé pour transférer plus de 400 millions de dollars.
Je recommence puisque mon autre tweet de citation a été censuré par le tweeter. Le bug du pont d’Arbitrum est le bug critique n°3 causé par de mauvais initialisateurs, au cas où nous aurions besoin d’une autre raison pour nous débarrasser des initialisateurs. Surpris qu’Arbitrum n’ait payé que 400 ETH et pas la prime maximale pour les dépôts comme : https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
– smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) September 2022
En attendant, les exploits de ponts sont l’un des plus grands problèmes de sécurité dans l’industrie de la cryptographie actuellement.