De white hat hacker vindt dat zijn ontdekking de volledige $2 miljoen max bounty beloning verdient in plaats van slechts 400 ETH.
Riptide, een white hat hacker die een kwetsbaarheid op Arbitrum ontdekte, tweette dat zijn vondst in aanmerking kwam voor de max bounty beloning van $2 miljoen in plaats van de 400 ETH ($53.000) beloning die hij kreeg.
No big deal gewoon een koele $470mm overbruggen via hetzelfde Inbox contract 👀
Moet zeker in aanmerking komen voor een max bounty
– riptide (@0xriptide) September 20, 2022
Ethereum scaling tool Arbitrum is ontsnapt aan een miljoenen kostende hack nadat de hacker een kwetsbaarheid had ontdekt in de brug die het layer2 netwerk verbindt met ETH’s mainnet. De kwetsbaarheid beïnvloedde de manier waarop transacties worden ingediend en verwerkt op het netwerk en zou kwaadwillenden in staat hebben gesteld om alle fondsen te stelen die naar het layer2 netwerk worden gestuurd.
De kwetsbaarheid
Volgens de white hat hacker konden inkomende transacties naar Arbitrum via de bridge worden gekaapt door kwaadwillende spelers die hun adres als ontvangstadres konden instellen.
Riptide vervolgde dat een dergelijke exploit lange tijd onopgemerkt had kunnen blijven als de hacker zich alleen richtte op grote ETH-stortingen, of ze hadden gewoon de volgende grote ETH-storting kunnen frontranken.
Aangezien de grootste storting op het inboxcontract in de afgelopen 24 uur 168.000 ETH (250 miljoen dollar) bedroeg, had het uitbuiten van de kwetsbaarheid kunnen leiden tot een verlies van honderden miljoenen.
Bounty beloning
While Riptide prees Arbitrum aanvankelijk voor de beloning van 400 ETH, maar de white hat hacker tweette later dat zijn werk de maximale premie van $2 miljoen verdiende.
Riptide zei:
“Mijn punt is dat als je een $2mm bounty plaatst – wees bereid om het te betalen als het gerechtvaardigd is. Zeg anders gewoon dat de maximale premie 400 ETH is en wees er klaar mee. Hackers kijken welke projecten uitbetalen en welke niet. IMO geen goed idee om een whitehat te stimuleren om blackhat te gaan.”
Riptide’s nieuwe opmerkingen werden gemaakt nadat een Twitter-gebruiker aantoonde dat de brug onlangs werd gebruikt om meer dan $400 miljoen over te maken.
Doe dit nog een keer aangezien mijn andere quote tweet gecensureerd werd door tweeter. Arbitrum bridge bug is kritieke bridge bug 3 veroorzaakt door slechte initializers, voor het geval we nog een reden nodig hadden om van initializers af te komen. Verrast dat Arbitrum slechts 400 ETH betaalde en niet de maximale bounty gezien deposito’s zoals: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
– smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) September 20, 2022
Intussen zijn bridge-exploits een van de grootste beveiligingsproblemen in de crypto-industrie. Aanvallen op bridges hebben alleen al in het afgelopen jaar geleid tot het verlies van bijna 1 miljard dollar.
