Spis treści
Riptide, haker z białym kapeluszem, który odkrył lukę w Arbitrum, napisał na Twitterze, że jego znalezisko kwalifikuje się do maksymalnej nagrody w wysokości 2 milionów dolarów zamiast 400 ETH (53 000 USD).
Nic wielkiego, po prostu pokonując fajne 470 mln USD za pośrednictwem tej samej umowy na skrzynkę odbiorczą
Zdecydowanie powinno kwalifikować się do maksymalnej nagrody
— riptide (@0xriptide) 20 września 2022
Narzędzie do skalowania Ethereum Arbitrum uniknęło wielomilionowego włamania po tym, jak haker zauważył lukę w moście łączącym sieć warstwy 2 z siecią ETH. Luka wpłynęła na sposób przesyłania i przetwarzania transakcji w sieci i umożliwiała złośliwym graczom kradzież wszystkich środków wysyłanych do sieci warstwy 2.
Luka
Według dla hakera z białym kapeluszem, transakcje przychodzące do Arbitrum przez most mogą zostać przejęte przez złośliwych graczy, którzy mogliby ustawić swój adres jako adres odbiorcy.
Riptide kontynuował, że taki exploit mógł pozostać niewykryty przez długi czas, gdyby haker wybrał tylko duże depozyty ETH, lub mógł po prostu z wyprzedzeniem przeprowadzić kolejny duży depozyt ETH.
Biorąc pod uwagę, że największy depozyt na kontrakcie skrzynki odbiorczej w ciągu ostatnich 24 godzin wyniósł 168 000 ETH (250 milionów dolarów), wykorzystanie luki mogło doprowadzić do utraty setek milionów.
Nagroda za nagrodę
Podczas gdy Riptide początkowo chwalił Arbitrum za nagrodę 400 ETH, haker z białego kapelusza napisał później na Twitterze, że jego praca zasługuje na maksymalną nagrodę w wysokości 2 milionów dolarów.
Prąd odpływowy powiedział:
„Chodzi mi o to, że jeśli opublikujesz nagrodę w wysokości 2 mm — bądź gotów zapłacić, gdy jest to uzasadnione. W przeciwnym razie powiedz, że maksymalna nagroda to 400 ETH i skończ z tym. Hakerzy obserwują, które projekty się opłacają, a które nie. IMO nie jest dobrym pomysłem, aby zachęcać białego kapelusza do przejścia na czarnego.
Nowe komentarze Riptide pojawiły się po tym, jak użytkownik Twittera pokazał, że most został niedawno wykorzystany do przekazania ponad 400 milionów dolarów.
Robię to ponownie, ponieważ mój drugi tweet z cytatem został ocenzurowany przez tweeter. Błąd mostka Arbitrum to krytyczny błąd mostka nr 3 spowodowany przez złe inicjatory, na wypadek, gdybyśmy potrzebowali innego powodu, aby pozbyć się inicjatorów. Zaskoczony Arbitrum zapłacił tylko 400 ETH, a nie maksymalną nagrodę za depozyty, takie jak: pic.twitter.com/cmSx1HMI1k
— smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) 20 września 2022
Tymczasem exploity mostowe są obecnie jednym z największych problemów bezpieczeństwa w branży kryptograficznej. Ataki na mosty doprowadziły do utraty prawie 1 miliarda dolarów tylko w ubiegłym roku.
