Riptide, un hacker white hat che ha scoperto una vulnerabilità su Arbitrum, ha twittato che la sua scoperta era idonea per la ricompensa massima di $ 2 milioni invece dei 400 ETH ($ 53,000) ricompensa che ha ricevuto.
Non è un grosso problema solo colmare un fantastico $ 470 mm attraverso lo stesso contratto Inbox 👀
Sicuramente dovrebbe essere idoneo per una taglia massima
— riptide (@0xriptide) 20 settembre 2022
Lo strumento di ridimensionamento di Ethereum Arbitrum è sfuggito a un hack multimilionario dopo che l'hacker ha individuato una vulnerabilità nel bridge che collega la rete layer2 alla rete principale di ETH. La vulnerabilità ha influito sul modo in cui le transazioni vengono inviate ed elaborate sulla rete e avrebbe consentito a giocatori malintenzionati di rubare tutti i fondi inviati alla rete layer2.
La vulnerabilità
Secondo per l'hacker white hat, le transazioni in arrivo ad Arbitrum attraverso il bridge potrebbero essere dirottate da giocatori malintenzionati che potrebbero impostare il proprio indirizzo come indirizzo del destinatario.
Riptide ha continuato dicendo che un tale exploit sarebbe potuto passare inosservato per molto tempo se l'hacker avesse preso di mira solo depositi di ETH di grandi dimensioni, oppure avrebbe potuto semplicemente anticipare il successivo deposito di ETH importante.
Dato che il più grande deposito sul contratto di posta in arrivo nelle ultime 24 ore è stato di 168,000 ETH (250 milioni di dollari), lo sfruttamento della vulnerabilità avrebbe potuto portare a una perdita di centinaia di milioni.
Ricompensa
Mentre Riptide inizialmente ha elogiato Arbitrum per la ricompensa di 400 ETH, l'hacker white hat ha successivamente twittato che il suo lavoro meritava la taglia massima di $ 2 milioni.
corrente di ritorno disse:
“Il mio punto è che se pubblichi una taglia di $ 2 milioni, preparati a pagarla quando è giustificato. Altrimenti, dì solo che la taglia massima è 400 ETH e falla finita. Gli hacker controllano quali progetti pagano e quali no. L'IMO non è una buona idea incentivare un whitehat a diventare blackhat.
I nuovi commenti di Riptide sono stati fatti dopo che un utente di Twitter ha mostrato che il bridge è stato recentemente utilizzato per trasferire oltre $ 400 milioni.
Lo sto facendo di nuovo da quando il mio altro tweet di citazione è stato censurato dal tweeter. Il bug del bridge Arbitrum è un bug critico del bridge n. 3 causato da inizializzatori errati, nel caso avessimo bisogno di un altro motivo per sbarazzarci degli inizializzatori. Surprised Arbitrum ha pagato solo 400 ETH e non la taglia massima data depositi come: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
— smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) 20 settembre 2022
Nel frattempo, gli exploit bridge sono attualmente uno dei maggiori problemi di sicurezza nel settore delle criptovalute. Gli attacchi ai ponti hanno portato alla spento di quasi 1 miliardo di dollari solo nell'ultimo anno.
Fonte: https://cryptoslate.com/white-hat-hacker-grumbles-over-arbitrum-bounty-reward-after-saving-network-from-475m-loss/