Haker białego kapelusza uważa, że jego odkrycie zasługuje na pełną nagrodę $2 mln max bounty zamiast tylko 400 ETH.
Riptide, haker w białym kapeluszu, który odkrył lukę w Arbitrum, zatweetował, że jego znalezisko kwalifikuje się do maksymalnej nagrody bounty w wysokości 2 milionów dolarów zamiast 400 ETH (53 000 dolarów) nagrody, którą otrzymał.
No big deal just bridging a cool $470mm through the same Inbox contract 👀
Zdecydowanie powinien być uprawniony do maksymalnego bounty.
– riptide (@0xriptide) September 20, 2022
Ethereum scaling tool Arbitrum uniknęło wielomilionowego włamania po tym, jak haker zauważył lukę w moście łączącym sieć layer2 z mainnetem ETH. Luka wpływała na sposób składania i przetwarzania transakcji w sieci i pozwoliłaby złośliwym graczom na kradzież wszystkich środków wysyłanych do sieci layer2.
The vulnerability
Według hakera w białym kapeluszu, transakcje przychodzące do Arbitrum przez most mogły zostać porwane przez złośliwych graczy, którzy mogliby ustawić swój adres jako adres odbiorcy.
Riptide kontynuuje, że taki exploit mógł pozostać niewykryty przez długi czas, jeśli hakerzy celowali tylko w duże depozyty ETH, lub mogli po prostu front-ran następnego dużego depozytu ETH.
Biorąc pod uwagę, że największy depozyt na kontrakcie inbox w ciągu ostatnich 24 godzin wyniósł 168 000 ETH (250 milionów dolarów), wykorzystanie luki mogło doprowadzić do utraty setek milionów.
Bounty reward
Choć Riptide początkowo pochwalił Arbitrum za nagrodę w wysokości 400 ETH, haker w białym kapeluszu zatweetował później, że jego praca zasługuje na maksymalne bounty w wysokości 2 milionów dolarów.
Riptide powiedział:
„Chodzi mi o to, że jeśli zamieścisz bounty w wysokości 2 milionów dolarów – bądź przygotowany na zapłacenie go, gdy będzie to uzasadnione. W przeciwnym razie po prostu powiedz, że max bounty to 400 ETH i skończ z tym. Hakerzy obserwują, które projekty wypłacają, a które nie. IMO nie jest dobrym pomysłem zachęcanie whitehata do przejścia na blackhata. „
Nowe komentarze Riptide’a pojawiły się po tym, jak jeden z użytkowników Twittera pokazał, że most został ostatnio użyty do przelania ponad 400 milionów dolarów.
Doing this again since my other quote tweet got censored by tweeter. Błąd mostu Arbitrum jest krytycznym błędem mostu 3 spowodowanym przez złe inicjalizatory, na wypadek gdybyśmy potrzebowali innego powodu, aby pozbyć się inicjalizatorów. Zaskoczony Arbitrum tylko wypłacone 400 ETH, a nie max bounty podane depozytów jak: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
– smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) 20 września 2022
Tymczasem exploity na mosty są obecnie jednym z największych problemów bezpieczeństwa w branży kryptowalut. Ataki na mosty doprowadziły do utraty prawie 1 miliarda dolarów tylko w zeszłym roku.