Zonder de oplettendheid van een white hat had ook de Arbitrum bridge verbonden met Ethereum (ETH) een grote hack kunnen ondergaan. Een fout in de code had een kwaadwillende in staat kunnen stellen om alle middelen die via de applicatie liepen om te leiden.
White hat avoided the worst at Arbitrum bridge
De white hat hacker met het pseudoniem riptide ontdekte een groot gebrek in de brug die communicatie tussen Ethereum (ETH) en Arbitrum mogelijk maakt. Als beloning voor zijn werk ontving hij een premie van 400 ETH, of iets meer dan $530.000 tegen de huidige prijs:
Mijn bug bounty write-up over een kritieke kwetsbaarheid die ik ontdekte op Arbitrum Nitro waardoor een aanvaller alle inkomende ETH stortingen op de L1-☻L2 brug kon stelen.
https://t. co/WuR4RYUL3L@icodeblockchain @samiamka2 @Mudit__Gupta @0xRecruiter @BowTiedCrocodil @BowTiedDevil– riptide (@0xriptide) September 20, 2022
Als dit gebrek door een onvoorzichtig persoon was uitgebuit, had het catastrofaal kunnen zijn. Na een anomalie betreffende een variabele in de code, verklaart riptide dat het een programma heeft kunnen ontwikkelen waarmee alle ETH die door de brug gaat, kan worden omgeleid.
Tot nu toe is de grootste storting 168.000 ETH, oftewel ruim 220 miljoen dollar. Op dagelijkse basis is het ook gebruikelijk om stortingen van tussen de 1.000 en 5.000 ETH te zien.
Een hacker zou er dan voor kunnen hebben gekozen om bepaalde strategische stortingen als doelwit te nemen, om zo in de loop van de tijd winst te maken, of gewoon alle middelen om te leiden. Het is dus een catastrofe van formaat die Arbitrum vermeden heeft, dankzij de waakzaamheid van deze witte hoed.
Standaard kan een goed slechts op één blokchain bestaan. Om het van het ene netwerk naar het andere te verplaatsen, moet een bridge worden gebruikt. Deze technologie maakt het mogelijk cryptocurrencies op te sluiten in een smart contract, om zo een synthetische versie op de doelketen te creëren.
Om de andere kant op te gaan, worden deze synthetische versies vervolgens vernietigd om hun onderliggende op de andere keten vrij te geven. Dit betekent dat als het depositocontract door een kwaadwillende wordt leeggehaald, de overbrugde activa waardeloos zijn.
Het feit dat dergelijke toepassingen een grote hoeveelheid geld opsluiten, maakt ze tot uitstekende doelwitten voor hackers. Dit is dit jaar meermaals aangetoond, door de aanvallen op Ronin, Wormhole, of meer recent de Horizonbrug van Harmony.
Daarom bieden de verschillende Web3-toepassingen bounty’s, afhankelijk van de gevonden bugs. Hierdoor kunnen talenten hun kennis gebruiken om gebreken in slimme contracten te vinden. Deze witte hoeden dragen dus bij tot de versterking van de veiligheid van het ecosysteem, door beloningen te verdienen via tussenpersonen zoals Immunefi.
