O hacker de chapéu branco acredita que a sua descoberta merece a recompensa máxima de 2 milhões de dólares em vez de apenas 400 ETH.
Riptide, um hacker de chapéu branco que descobriu uma vulnerabilidade no Arbitrum, tweeted que a sua descoberta era elegível para a recompensa máxima de $2 milhões em vez da recompensa de 400 ETH ($53.000) que recebeu.
Não é nada de mais, apenas uma ponte de $470mm através do mesmo contrato da Caixa de Entrada 👀
Definitivamente deve ser elegível para uma recompensa máxima
— riptide (@0xriptide) 20 de Setembro de 2022
Ethereum scaling tool Arbitrum escapou a um hack multimilionário após o hacker ter detectado uma vulnerabilidade na ponte que liga a rede da camada2 à rede principal da ETH. A vulnerabilidade afectou a forma como as transacções são submetidas e processadas na rede e teria permitido aos jogadores maliciosos roubar todos os fundos enviados para a rede da camada2.
A vulnerabilidade
De acordo com o hacker de chapéu branco, as transacções recebidas para a Arbitrum através da ponte poderiam ser desviadas por jogadores maliciosos que poderiam definir o seu endereço como o endereço destinatário.
Riptide continuou que uma tal exploração poderia ter passado despercebida durante muito tempo se o hacker visasse apenas grandes depósitos de ETH, ou eles poderiam ter apenas adiantado o próximo grande depósito de ETH.
Dado que o maior depósito no contrato da caixa de entrada nas últimas 24 horas foi de 168.000 ETH (250 milhões de dólares), a exploração da vulnerabilidade poderia ter levado a uma perda de centenas de milhões.
Recompensa de recompensa
Embora Riptide tenha inicialmente elogiado Arbitrum pela recompensa de 400 ETH, o hacker de chapéu branco tweeted mais tarde que o seu trabalho merecia a recompensa máxima de 2 milhões de dólares.
Riptide disse:
“O que quero dizer é que se postarem uma recompensa de $2mm – estejam preparados para a pagar quando for justificada. Caso contrário, basta dizer que a recompensa máxima é de 400 ETH e ser feito com ela. Os hackers observam quais os projectos que pagam e quais os que não pagam. OMI não é uma boa ideia incentivar um whitehat a ir blackhat “
Os novos comentários do Riptide foram feitos depois de um utilizador do Twitter ter mostrado que a ponte foi recentemente utilizada para transferir mais de $400 milhões.
Fazendo isto novamente desde que o meu outro tweet de citação foi censurado pelo tweeter. Arbitrum bridge bug é o bug crítico de bridge 3 causado por más inicializadoras, no caso de precisarmos de outra razão para nos livrarmos das inicializadoras. Surpreendido Arbitrum pagou apenas 400 ETH e não a recompensa máxima dada por depósitos como: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
– smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) September 20, 2022
Meanwhile, bridge exploits are one of the biggest security concerns in the crypto industry currently currently. Ataques a pontes levaram à perda de quase mil milhões de dólares só no ano passado.
