这位白帽黑客认为他的发现应该得到最高200万美元的赏金,而不是只有400ETH。
发现Arbitrum漏洞的白帽黑客Riptide在推特上表示,他的发现有资格获得200万美元的最高赏金,而不是他得到的400ETH(53,000美元)的奖励.
没有什么大不了的,只是通过同一个Inbox合同桥接了一个很酷的4.7亿美元👀。
绝对应该有资格获得最大的赏金
– riptide (@0xriptide) September 20, 2022
以太坊扩展工具Arbitrum在黑客发现连接layer2网络和ETH主网的桥梁存在漏洞后,逃过了一场价值数百万美元的黑客攻击。该漏洞影响了网络上交易的提交和处理方式,会让恶意玩家窃取所有发送到layer2网络的资金。
该漏洞
根据白帽黑客的说法,通过桥梁进入Arbitrum的交易可以被恶意玩家劫持,他们可以将自己的地址设置为收款人地址。
Riptide继续说,如果黑客只针对大额ETH存款,这样的漏洞可能在很长一段时间内都不会被发现,或者他们可以直接前置下一笔大额ETH存款。
鉴于在过去24小时内收件箱合约上的最大存款是16.8万ETH(2.5亿美元),利用该漏洞可能导致数以亿计的损失。
赏金
虽然Riptide最初赞扬了Arbitrum的400ETH奖励,但这位白帽黑客后来在推特上说,他的工作应该得到200万美元的最高赏金。
Riptide说:
“我的观点是,如果你发布200万美元的赏金–要准备好在合理的时候支付。否则,就说最大赏金是400ETH,然后就可以了。黑客会观察哪些项目会支付,哪些不会。IMO不是一个激励白帽子去黑帽子的好主意。”
激流的新评论是在一个Twitter用户显示该桥最近被用来转移超过4亿美元后提出的。
由于我的另一条报价推文被推特用户审查,所以再次做了这个。Arbitrum的桥梁错误是由坏的初始化器引起的关键桥梁错误3,以防我们需要另一个理由来摆脱初始化器。惊讶的是Arbitrum只支付了400个ETH,而不是给予存款的最大赏金,如。https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
– smartcontracts.eth(✨🔴_🔴✨)(@kelvinfichter) September 20, 2022
同时,桥接漏洞是目前加密行业中最大的安全问题之一。仅在过去一年中,对桥接的攻击就导致了近10亿美元的损失。
