Riptide, un hacker au chapeau blanc qui a découvert une vulnérabilité sur Arbitrum, a tweeté que sa découverte était éligible à la prime maximale de 2 millions de dollars au lieu des 400 ETH (53,000 XNUMX $) récompense qu'il a obtenue.
Ce n'est pas grave, il suffit de combler 470 millions de dollars via le même contrat Inbox 👀
Devrait certainement être éligible pour une prime maximale
– contre-courant (@0xriptide) 20 septembre 2022
Outil de mise à l'échelle d'Ethereum Arbitrum a échappé à un piratage de plusieurs millions de dollars après que le pirate a repéré une vulnérabilité dans le pont reliant le réseau de couche 2 au réseau principal d'ETH. La vulnérabilité affectait la manière dont les transactions sont soumises et traitées sur le réseau et aurait permis à des joueurs malveillants de voler tous les fonds envoyés au réseau Layer2.
La vulnérabilité
Selon pour le hacker au chapeau blanc, les transactions entrantes vers Arbitrum via le pont pourraient être détournées par des joueurs malveillants qui pourraient définir leur adresse comme adresse du destinataire.
Riptide a poursuivi qu'un tel exploit aurait pu passer inaperçu pendant longtemps si le pirate ne ciblait que les grands gisements d'ETH, ou s'il aurait pu simplement lancer le prochain gisement majeur d'ETH.
Étant donné que le dépôt le plus important sur le contrat de boîte de réception au cours des dernières 24 heures était de 168,000 250 ETH (XNUMX millions de dollars), l'exploitation de la vulnérabilité aurait pu entraîner une perte de centaines de millions.
Récompense de prime
Alors que Riptide a initialement félicité Arbitrum pour la récompense de 400 ETH, le hacker au chapeau blanc a ensuite tweeté que son travail méritait la prime maximale de 2 millions de dollars.
contre-courant a affirmé Valérie Plante.:
« Ce que je veux dire, c'est que si vous postez une prime de 2 millions de dollars, soyez prêt à la payer quand c'est justifié. Sinon, dites simplement que la prime maximale est de 400 ETH et finissez-en. Les pirates surveillent quels projets paient et lesquels ne paient pas. L'OMI n'est pas une bonne idée d'inciter un chapeau blanc à passer au chapeau noir.
Les nouveaux commentaires de Riptide ont été faits après qu'un utilisateur de Twitter a montré que le pont avait récemment été utilisé pour transférer plus de 400 millions de dollars.
Je le fais à nouveau depuis que mon autre tweet de citation a été censuré par tweeter. Le bogue de pont Arbitrum est le bogue de pont critique n ° 3 causé par de mauvais initialiseurs, au cas où nous aurions besoin d'une autre raison pour nous débarrasser des initialiseurs. Arbitrum surpris n'a payé que 400 ETH et pas de prime maximale compte tenu des dépôts comme: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
– smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) 20 septembre 2022
Pendant ce temps, les exploits de pont sont actuellement l'un des plus grands problèmes de sécurité dans l'industrie de la cryptographie. Les attaques contre les ponts ont conduit à la perte de près d'un milliard de dollars au cours de la seule dernière année.
Source : https://cryptoslate.com/white-hat-hacker-grumbles-over-arbitrum-bounty-reward-after-saving-network-from-475m-loss/