Si Riptide, isang white hat hacker na nakatuklas ng isang kahinaan sa Arbitrum, ay nag-tweet na ang kanyang nahanap ay karapat-dapat para sa maximum na bounty reward na $2 milyon sa halip na 400 ETH ($53,000) reward na nakuha niya.
Walang malaking pakikitungo lamang sa pagtulay ng cool na $470mm sa pamamagitan ng parehong kontrata ng Inbox π
Talagang dapat maging karapat-dapat para sa isang maximum na bounty
β riptide (@0xriptide) Septiyembre 20, 2022
Ang Ethereum scaling tool na Arbitrum ay nakatakas sa isang multimillion-dollar hack pagkatapos na makita ng hacker ang isang kahinaan sa tulay na nagkokonekta sa layer2 network sa mainnet ng ETH. Naapektuhan ng kahinaan kung paano isinumite at pinoproseso ang mga transaksyon sa network at pinahihintulutan sana ang mga malisyosong manlalaro na nakawin ang lahat ng pondong ipinadala sa network ng layer2.
Ang kahinaan
Ayon sa sa white hat hacker, ang mga papasok na transaksyon sa Arbitrum sa pamamagitan ng tulay ay maaaring ma-hijack ng mga malisyosong manlalaro na maaaring magtakda ng kanilang address bilang address ng tatanggap.
Ipinagpatuloy ni Riptide na ang ganitong pagsasamantala ay maaaring hindi natukoy sa loob ng mahabang panahon kung ang malalaking deposito ng ETH lang ang tina-target ng hacker, o maaari lang nilang patakbuhin ang susunod na pangunahing deposito ng ETH.
Dahil ang pinakamalaking deposito sa kontrata ng inbox sa huling 24 na oras ay 168,000 ETH ($250 milyon), ang pagsasamantala sa kahinaan ay maaaring humantong sa pagkawala ng daan-daang milyon.
Bounty reward
Habang unang pinuri ni Riptide ang Arbitrum para sa 400 ETH na gantimpala, ang hacker ng puting sumbrero ay nag-tweet na ang kanyang trabaho ay karapat-dapat sa maximum na bounty na $2 milyon.
Riptide sinabi:
βAng punto ko ay kung mag-post ka ng $2mm bounty β maging handa na bayaran ito kapag ito ay nabigyang-katwiran. Kung hindi, sabihin lang na ang max na bounty ay 400 ETH at tapos na dito. Tinitingnan ng mga hacker kung aling mga proyekto ang nagbabayad at alin ang hindi. Hindi magandang ideya ang IMO na bigyan ng insentibo ang isang whitehat na mag-blackhat."
Ang mga bagong komento ni Riptide ay ginawa matapos ipakita ng isang user ng Twitter na ang tulay ay ginamit kamakailan para maglipat ng mahigit $400 milyon.
Ginagawa ito muli dahil ang aking isa pang quote tweet ay na-censor ng tweeter. Ang Arbitrum bridge bug ay kritikal na bridge bug #3 na dulot ng hindi magandang initializer, kung sakaling kailangan namin ng isa pang dahilan para maalis ang mga initializer. Nagbayad lang ang Surprised Arbitrum ng 400 ETH at hindi max bounty na ibinigay na mga deposito tulad ng: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
β smartcontracts.eth (β¨π΄_π΄β¨) (@kelvinfichter) Septiyembre 20, 2022
Samantala, ang mga pagsasamantala sa tulay ay isa sa mga pinakamalaking alalahanin sa seguridad sa industriya ng crypto sa kasalukuyan. Ang mga pag-atake sa mga tulay ay humantong sa off ng halos $1 bilyon sa nakaraang taon lamang.
Pinagmulan: https://cryptoslate.com/white-hat-hacker-grumbles-over-arbitrum-bounty-reward-after-saving-network-from-475m-loss/