Riptide, um hacker de chapéu branco que descobriu uma vulnerabilidade no Arbitrum, twittou que sua descoberta era elegível para a recompensa máxima de US $ 2 milhões em vez dos 400. ETH ($ 53.000) recompensa que ele recebeu.
Não é grande coisa apenas fazer a ponte de US $ 470 milhões com o mesmo contrato de caixa de entrada 👀
Definitivamente deve ser elegível para uma recompensa máxima
— riptide (@0xriptide) 20 de setembro de 2022
A ferramenta de dimensionamento Ethereum Arbitrum escapou de um hack multimilionário depois que o hacker detectou uma vulnerabilidade na ponte que conecta a rede Layer2 à rede principal da ETH. A vulnerabilidade afetou a forma como as transações são enviadas e processadas na rede e permitiria que jogadores mal-intencionados roubassem todos os fundos enviados para a rede layer2.
A vulnerabilidade
De acordo com para o hacker de chapéu branco, as transações recebidas pela Arbitrum através da ponte podem ser sequestradas por jogadores mal-intencionados que podem definir seu endereço como o endereço do destinatário.
Riptide continuou que tal exploração poderia ter passado despercebida por um longo tempo se o hacker visasse apenas grandes depósitos de ETH, ou eles poderiam apenas ter executado o próximo grande depósito de ETH.
Dado que o maior depósito no contrato da caixa de entrada nas últimas 24 horas foi de 168.000 ETH (US$ 250 milhões), explorar a vulnerabilidade poderia levar a uma perda de centenas de milhões.
Recompensa
Enquanto Riptide inicialmente elogiou Arbitrum pela recompensa de 400 ETH, o hacker de chapéu branco mais tarde twittou que seu trabalho merecia a recompensa máxima de US $ 2 milhões.
correnteza disse:
“Meu ponto é que, se você postar uma recompensa de US$ 2 milhões – esteja preparado para pagá-la quando for justificado. Caso contrário, basta dizer que a recompensa máxima é de 400 ETH e pronto. Hackers observam quais projetos pagam e quais não. IMO não é uma boa ideia incentivar um whitehat a se tornar blackhat.”
Os novos comentários de Riptide foram feitos depois que um usuário do Twitter mostrou que a ponte foi usada recentemente para transferir mais de US$ 400 milhões.
Fazendo isso de novo desde que meu outro tweet de citação foi censurado pelo tweeter. O bug da ponte Arbitrum é o bug crítico da ponte nº 3 causado por inicializadores ruins, caso precisássemos de outro motivo para nos livrarmos dos inicializadores. A Surprised Arbitrum pagou apenas 400 ETH e não a recompensa máxima com depósitos como: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
— smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) 20 de setembro de 2022
Enquanto isso, as explorações de ponte são uma das maiores preocupações de segurança na indústria de criptomoedas atualmente. Ataques a pontes levaram ao perda de quase US$ 1 bilhão só no ano passado.
