Ο Riptide, ένας χάκερ λευκού καπέλου που ανακάλυψε μια ευπάθεια στο Arbitrum, έγραψε στο Twitter ότι το εύρημα του ήταν επιλέξιμο για τη μέγιστη ανταμοιβή bounty των 2 εκατομμυρίων δολαρίων αντί των 400 ETH ανταμοιβή (53,000 $) που πήρε.
Δεν υπάρχει μεγάλη υπόθεση, απλώς γεφυρώνοντας ένα υπέροχο ποσό 470 χιλιοστών μέσω του ίδιου συμβολαίου Εισερχομένων 👀
Σίγουρα θα πρέπει να πληρούν τις προϋποθέσεις για ένα μέγιστο μπόνους
— riptide (@0xriptide) Σεπτέμβριος 20, 2022
Το εργαλείο κλιμάκωσης Ethereum Arbitrum γλίτωσε από ένα hack πολλών εκατομμυρίων δολαρίων αφού ο χάκερ εντόπισε μια ευπάθεια στη γέφυρα που συνδέει το δίκτυο layer2 με το κεντρικό δίκτυο του ETH. Η ευπάθεια επηρέασε τον τρόπο υποβολής και επεξεργασίας των συναλλαγών στο δίκτυο και θα επέτρεπε στους κακόβουλους παίκτες να κλέψουν όλα τα χρήματα που αποστέλλονται στο δίκτυο layer2.
Η ευπάθεια
Σύμφωνα με στον χάκερ του λευκού καπέλου, οι εισερχόμενες συναλλαγές στο Arbitrum μέσω της γέφυρας θα μπορούσαν να παραβιαστούν από κακόβουλους παίκτες που θα μπορούσαν να ορίσουν τη διεύθυνσή τους ως διεύθυνση παραλήπτη.
Το Riptide συνέχισε ότι μια τέτοια εκμετάλλευση θα μπορούσε να είχε μείνει απαρατήρητη για μεγάλο χρονικό διάστημα εάν ο χάκερ στόχευε μόνο μεγάλες καταθέσεις ETH ή θα μπορούσε να είχε μόλις προηγηθεί την επόμενη σημαντική κατάθεση ETH.
Δεδομένου ότι η μεγαλύτερη κατάθεση στο συμβόλαιο εισερχομένων τις τελευταίες 24 ώρες ήταν 168,000 ETH (250 εκατομμύρια δολάρια), η εκμετάλλευση της ευπάθειας θα μπορούσε να είχε οδηγήσει σε απώλεια εκατοντάδων εκατομμυρίων.
Επιβράβευση Bounty
Ενώ το Riptide αρχικά επαίνεσε το Arbitrum για την ανταμοιβή των 400 ETH, ο χάκερ των λευκών καπέλων αργότερα ανάρτησε στο Twitter ότι η δουλειά του άξιζε τη μέγιστη επιβράβευση των 2 εκατομμυρίων δολαρίων.
riptide είπε:
«Το θέμα μου είναι ότι αν δημοσιεύσετε ένα μπόνους $2 χιλιοστών — να είστε έτοιμοι να το πληρώσετε όταν είναι δικαιολογημένο. Διαφορετικά, απλώς πείτε ότι το μέγιστο μπόνους είναι 400 ETH και τελειώστε με αυτό. Οι χάκερ παρακολουθούν ποια έργα πληρώνουν και ποια όχι. Ο ΙΜΟ δεν είναι καλή ιδέα να δώσουμε κίνητρο σε ένα άσπρο καπέλο να πάει μαύρο καπέλο».
Τα νέα σχόλια του Riptide έγιναν αφότου ένας χρήστης του Twitter έδειξε ότι η γέφυρα χρησιμοποιήθηκε πρόσφατα για μεταφορά άνω των 400 εκατομμυρίων δολαρίων.
Το ξανακάνω αυτό, αφού το άλλο μου tweet λογοκρίθηκε από το tweeter. Το σφάλμα Arbitrum Bridge είναι το κρίσιμο σφάλμα γέφυρας #3 που προκαλείται από κακούς αρχικοποιητές, σε περίπτωση που χρειαζόμασταν έναν άλλο λόγο για να απαλλαγούμε από τους αρχικοποιητές. Το Surprised Arbitrum πλήρωσε μόνο 400 ETH και όχι μέγιστο Bounty για καταθέσεις όπως: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
— smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) Σεπτέμβριος 20, 2022
Εν τω μεταξύ, οι εκμεταλλεύσεις γεφυρών είναι μία από τις μεγαλύτερες ανησυχίες ασφαλείας στη βιομηχανία κρυπτογράφησης επί του παρόντος. Οι επιθέσεις σε γέφυρες οδήγησαν στο off σχεδόν 1 δισεκατομμύριο δολάρια μόνο το περασμένο έτος.
Πηγή: https://cryptoslate.com/white-hat-hacker-grumbles-over-arbitrum-bounty-reward-after-saving-network-from-475m-loss/