Хакер в белой шляпе считает, что его открытие заслуживает максимального вознаграждения в 2 миллиона долларов, а не только 400 ETH.
Riptide, хакер в белой шляпе, обнаруживший уязвимость на Arbitrum, написал в твиттере, что его находка заслуживает максимального вознаграждения в 2 миллиона долларов, а не 400 ETH (53 000 долларов), которые он получил.
Ничего особенного, просто соединяем крутые $470 млн через тот же контракт Inbox 👀.
Определенно должен претендовать на максимальное вознаграждение
— riptide (@0xriptide) Сентябрь 20, 2022
Ethereum инструмент масштабирования Arbitrum избежал многомиллионного взлома после того, как хакер заметил уязвимость в мосту, соединяющем сеть layer2 с мейннетом ETH. Уязвимость повлияла на порядок подачи и обработки транзакций в сети и позволила бы злоумышленникам украсть все средства, отправленные в сеть layer2.
Уязвимость
По словам хакера в белой шляпе, входящие транзакции в Arbitrum через мост могли быть перехвачены злоумышленниками, которые могли установить свой адрес в качестве адреса получателя.
Riptide продолжает, что такой эксплойт мог оставаться незамеченным в течение долгого времени, если хакер нацеливался только на крупные депозиты ETH, или же он мог просто подстроить следующий крупный депозит ETH.
Учитывая, что самый крупный депозит на контракте inbox за последние 24 часа составил 168 000 ETH (250 миллионов долларов), использование уязвимости могло привести к потере сотен миллионов.
Вознаграждение
Хотя Riptide сначала похвалил Arbitrum за вознаграждение в 400 ETH, хакер в белой шляпе позже написал в Твиттере, что его работа заслуживает максимального вознаграждения в 2 миллиона долларов.
Riptide сказал:
«Я хочу сказать, что если вы объявили награду в $2 млн, будьте готовы заплатить ее, когда это будет оправдано. В противном случае просто скажите, что максимальное вознаграждение составляет 400 ETH, и покончите с этим. Хакеры следят за тем, какие проекты платят, а какие нет. IMO не самая лучшая идея стимулировать «белого хата» к переходу в «черный хат». «
Новые комментарииRiptide были сделаны после того, как пользователь Twitter показал, что мост недавно использовался для перевода более $400 млн.
Делаю это снова, поскольку мой другой твит с цитатой был отцензурирован твиттером. Ошибка моста Arbitrum — это критическая ошибка моста №3, вызванная плохими инициализаторами, на случай, если нам нужна еще одна причина избавиться от инициализаторов. Удивлен, что Arbitrum выплатил только 400 ETH, а не максимальное вознаграждение за депозиты, такие как: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
— smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) September 20, 2022
Между тем, мостовые эксплойты являются одной из самых больших проблем безопасности в криптоиндустрии в настоящее время. Только за последний год атаки на мосты привели к потере почти 1 миллиарда долларов.
