Il white hat hacker ritiene che la sua scoperta meriti l’intera ricompensa massima di 2 milioni di dollari invece di soli 400 ETH.
Riptide, un hacker white hat che ha scoperto una vulnerabilità su Arbitrum, ha twittato che la sua scoperta è idonea a ricevere la ricompensa massima di 2 milioni di dollari invece dei 400 ETH (53.000 dollari) che ha ottenuto.
Non è un grosso problema, è solo un ponte di 470 mm di dollari attraverso lo stesso contratto Inbox 👀
Dovrebbe essere sicuramente eleggibile per una taglia massima.
– riptide (@0xriptide) September 20, 2022
Lo strumento di scaling di Ethereum Arbitrum è sfuggito a un hackeraggio multimilionario dopo che l’hacker ha individuato una vulnerabilità nel ponte che collega la rete layer2 alla mainnet di ETH. La vulnerabilità riguardava il modo in cui le transazioni vengono inviate ed elaborate sulla rete e avrebbe permesso a giocatori malintenzionati di rubare tutti i fondi inviati alla rete layer2.
La vulnerabilità
Secondo l’hacker white hat, le transazioni in arrivo ad Arbitrum attraverso il ponte potrebbero essere dirottate da giocatori malintenzionati che potrebbero impostare il proprio indirizzo come indirizzo del destinatario.
Riptide ha continuato affermando che tale exploit sarebbe potuto passare inosservato per molto tempo se l’hacker avesse preso di mira solo i depositi di ETH di grandi dimensioni, oppure avrebbe potuto limitarsi a prendere di mira il deposito di ETH successivo più importante.
Dato che il più grande deposito sul contratto inbox nelle ultime 24 ore è stato di 168.000 ETH (250 milioni di dollari), lo sfruttamento della vulnerabilità avrebbe potuto portare a una perdita di centinaia di milioni.
Bounty reward
Mentre Riptide ha inizialmente elogiato Arbitrum per la ricompensa di 400 ETH, l’hacker white hat ha poi twittato che il suo lavoro meritava la taglia massima di 2 milioni di dollari.
Riptide ha dichiarato:
“Il mio punto di vista è che se pubblicate una taglia di 2 milioni di dollari, siate pronti a pagarla quando è giustificata. Altrimenti, basta dire che la taglia massima è di 400 ETH e farla finita. Gli hacker osservano quali progetti pagano e quali no. IMO non è una buona idea incentivare un whitehat a diventare un blackhat. “
I nuovi commenti di
Riptide sono stati fatti dopo che un utente di Twitter ha mostrato che il ponte è stato recentemente utilizzato per trasferire oltre 400 milioni di dollari.
Ripropongo questo articolo dato che l’altro mio tweet di citazione è stato censurato dal tweeter. Il bug del bridge di Arbitrum è il bug critico del bridge 3 causato da inizializzatori errati, nel caso ci servisse un altro motivo per sbarazzarci degli inizializzatori. Sorprende che Arbitrum abbia pagato solo 400 ETH e non la taglia massima data da depositi come: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
– smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) September 20, 2022
Intanto, gli exploit dei bridge sono uno dei maggiori problemi di sicurezza nel settore della crittografia. Gli attacchi ai bridge hanno portato alla perdita di quasi 1 miliardo di dollari solo nell’ultimo anno.