Senza la vigilanza di un white hat, anche il ponte Arbitrum collegato a Ethereum (ETH) avrebbe potuto subire un grave hack. Infatti, una falla nel codice avrebbe potuto permettere a un malintenzionato di dirottare tutti i fondi che passavano attraverso l’applicazione.
Il cappello bianco evita il peggio al ponte Arbitrum
L’hacker white hat, con lo pseudonimo di riptide, ha scoperto una grave falla nel ponte che consente la comunicazione tra Ethereum (ETH) e Arbitrum. Come ricompensa per il suo lavoro, ha ricevuto una taglia di 400 ETH, ovvero poco più di 530.000 dollari al prezzo attuale:
Il mio bug bounty su una vulnerabilità critica che ho scoperto su Arbitrum Nitro e che permetteva ad un attaccante di rubare tutti i depositi di ETH in arrivo sul ponte L1-☻L2.
https://t. co/WuR4RYUL3L@icodeblockchain @samiamka2 @Mudit__Gupta @0xRecruiter @BowTiedCrocodil @BowTiedDevil– riptide (@0xriptide) 20 settembre, 2022
Se questa falla fosse stata sfruttata da una persona poco attenta, avrebbe potuto avere conseguenze catastrofiche. Infatti, a seguito di un’anomalia relativa a una variabile del codice, riptide spiega di essere riuscita a prototipare un programma che permette di deviare tutti i PF che passano attraverso il ponte.
Ad oggi, il deposito più grande è di 168.000 ETH, pari a oltre 220 milioni di dollari. Su base giornaliera, è anche comune vedere depositi tra i 1.000 e i 5.000 ETH.
Un hacker potrebbe quindi aver scelto di puntare su alcuni depositi strategici, per guadagnare nel tempo, o semplicemente dirottare tutti i fondi. Si tratta quindi di una catastrofe di scala che Arbitrum ha evitato grazie alla vigilanza di questo white hat.
L’importanza strategica dei ponti
Per impostazione predefinita, una risorsa può esistere solo su una blokchain. Per spostarlo da una rete all’altra, sarà necessario utilizzare un bridge. Questa tecnologia consente di bloccare le criptovalute in uno smart contract, al fine di creare una versione sintetica sulla catena di destinazione.
Per andare nella direzione opposta, queste versioni sintetiche vengono poi distrutte per rilasciare il loro sottostante sull’altra catena. Ciò significa che se il contratto di deposito viene svuotato da un attore malintenzionato, gli asset bridged sono privi di valore.
Il fatto che queste applicazioni blocchino una grande quantità di denaro le rende bersagli privilegiati degli hacker. Ciò è stato dimostrato più volte quest’anno, attraverso gli attacchi a Ronin, Wormhole e, più recentemente, al ponte Horizon di Harmony.
Per questo motivo le varie applicazioni Web3 offrono livelli di ricompensa a seconda dei bug trovati. Questo permette ai talenti di utilizzare le loro conoscenze per trovare difetti nei contratti intelligenti. Questi cappelli bianchi contribuiscono così a rafforzare la sicurezza dell’ecosistema, guadagnando ricompense attraverso intermediari come Immunefi.
