Il 19 settembre, Arbitrum, una delle soluzioni Layer 2 più popolari per Ethereum, ha pagato 400 ETH (circa $ 560,000) a un hacker white hat che ha trovato una potenziale vulnerabilità nel suo codice.
L'hacker white hat, noto su Twitter come Riptide, trova vulnerabilità all'interno di contratti intelligenti scritti in Solidity. Marea di marea disse la "vulnerabilità multimilionaria" potrebbe potenzialmente colpire chiunque volesse scambiare fondi da Ethereum ad Arbitrum Nitro.
Non è un grosso problema solo colmare un fantastico $ 470 mm attraverso lo stesso contratto Inbox 👀
Sicuramente dovrebbe essere idoneo per una taglia massima
— riptide (@0xriptide) 20 settembre 2022
Arbitrum ha evitato perdite di milioni di dollari
L'hacker ha scansionato a fondo il codice Arbitrum Nitro poche settimane prima del suo rilascio, controllando i contratti in modo da poter "vedere se l'aggiornamento era stato un successo".
Dopo il upgrade, Riptide ha notato alcuni errori che impedivano il corretto funzionamento del bridge. Dopo un'ulteriore ispezione, Riptide ha notato che il sequencer della posta in arrivo stava subendo un ritardo.
“Un cliente può inviare un messaggio al Sequencer firmando e pubblicando una transazione L1 nella Posta in arrivo ritardata della catena Arbitrum. Questa funzionalità è più comunemente utilizzata per depositare ETH o token tramite un bridge".
Dopo aver riesaminato il contratto, Riptide ha confermato che il bug del sequencer di posta in arrivo consentiva una vulnerabilità critica nel contratto per cui Riptide o un altro hacker malintenzionato avrebbero potuto ottenere milioni di dollari deviando i depositi di ETH in entrata dal bridge L1 al bridge L2 nei loro portafogli prima di essere rilevati .
Il mio bug bounty write-up su una vulnerabilità critica che ho scoperto su Arbitrum Nitro che consentiva a un utente malintenzionato di rubare tutti i depositi di ETH in entrata sul bridge L1->L2
https://t.co/WuR4RYUL3L@icodeblockchain @samiamka2 @Mudit__Gupta @0xReclutatore @BowTiedCrocodil @BowTiedDevil— riptide (@0xriptide) 20 settembre 2022
Tuttavia, Riptide ha deciso di segnalare la vulnerabilità e richiedere invece un premio, che con loro sorpresa era di soli 400 ETH invece del premio di $ 2 milioni offerto da Arbitrum come livello massimo. Dopo aver ricevuto la ricompensa, l'hacker ha affermato che non era in linea con l'importanza del bug e il rischio che comportava.
Il mio punto è che se pubblichi una taglia di $ 2 mm, preparati a pagarla quando è giustificato. Altrimenti dì solo che la taglia massima è 400 ETH e falla finita.
Gli hacker controllano quali progetti pagano e quali no
L'IMO non è una buona idea per incentivare un whitehat a diventare blackhat
— riptide (@0xriptide) 20 settembre 2022
Vale la pena ricordare che nel marzo 2022 Arbitrum è stata vittima di un sfruttare in cui un hacker o un gruppo di hacker ha rubato più di 100 NFT da TreasureDAO, con una valutazione di almeno $ 1.4 milioni.
White Hat Hacker: un business redditizio in Crypto-Land
L'audit indipendente è di enorme importanza nell'ecosistema crittografico. Nel corso dell'anno, diverse piattaforme hanno scelto di pagare ricompense agli hacker white hat che segnalano potenziali vulnerabilità nel loro codice o contratti intelligenti.
Ad esempio, a metà febbraio, Coinbase pagato "la taglia più grande della sua storia" ($ 250,000) a un hacker chiamato "Albero dell'Alfa" per averlo salvato da una perdita di miliardi di dollari a causa di un difetto nella funzione "Trading avanzato".
A quel tempo, Tree of Alpha era grato per il pagamento affermando che avrebbe potuto servirgli bene in pensione; tuttavia, come Riptide, ha osservato che "una taglia più alta avrebbe potuto essere intelligente per dissuadere più cappelli grigi dallo sfruttare le vulnerabilità".
Inoltre, Jay "Saurik" Freeman, che lavora con il protocollo VPN decentralizzato Orchid ed è una leggenda nel Comunità di jailbreak iOS-ricevuto oltre $ 2 milioni per aver segnalato una vulnerabilità in Optimism, una "soluzione di ridimensionamento di livello 2" per Ethereum.
Binance Free $ 100 (esclusivo): Usa questo link per registrarti e ricevere $100 gratuiti e il 10% di sconto sulle commissioni su Binance Futures il primo mese (condizioni).
Offerta speciale PrimeXBT: Usa questo link per registrarti e inserire il codice POTATO50 per ricevere fino a $ 7,000 sui tuoi depositi.
Fonte: https://cryptopotato.com/arbitrum-rewards-hacker-with-400-eth-for-detecting-a-critical-400m-vulnerability/