Riptide, en white hat hacker som upptäckte en sårbarhet på Arbitrum, twittrade att hans fynd var berättigat till den maximala bounty-belöningen på 2 miljoner dollar istället för 400 ETH ($53,000 XNUMX) belöning han fick.
Ingen big deal bara att överbrygga en cool $470 mm genom samma Inbox-kontrakt 👀
Definitivt bör vara berättigad till en max bounty
— riptide (@0xriptide) September 20, 2022
Ethereum-skalningsverktyget Arbitrum undkom ett hack på flera miljoner dollar efter att hackaren upptäckte en sårbarhet i bryggan som förbinder layer2-nätverket med ETH:s huvudnät. Sårbarheten påverkade hur transaktioner skickas och bearbetas på nätverket och skulle ha tillåtit skadliga spelare att stjäla alla pengar som skickats till nätverket layer2.
Sårbarheten
Enligt för white hat-hackern kan inkommande transaktioner till Arbitrum via bron kapas av illvilliga spelare som kan ange sin adress som mottagaradress.
Riptide fortsatte att en sådan exploatering kunde ha förblivit oupptäckt under lång tid om hackaren bara riktade in sig på stora ETH-insättningar, eller så kunde de bara ha kört nästa stora ETH-insättning.
Med tanke på att den största insättningen på inkorgskontraktet under de senaste 24 timmarna var 168,000 250 ETH (XNUMX miljoner USD), kunde utnyttjandet av sårbarheten ha lett till en förlust på hundratals miljoner.
Bounty belöning
Medan Riptide till en början berömde Arbitrum för 400 ETH-belöningen, twittrade hackern med vita hattar senare att hans arbete förtjänade den maximala belöningen på $2 miljoner.
riptide sade:
"Min poäng är att om du lägger ut en prispeng på 2 mm - var beredd att betala den när det är motiverat. Annars, säg bara att den maximala bountyen är 400 ETH och var klar med det. Hackare tittar på vilka projekt som betalar ut och vilka som inte gör det. IMO är inte en bra idé att uppmuntra en whitehat att bli blackhat.”
Riptides nya kommentarer gjordes efter att en Twitter-användare visade att bron nyligen användes för att överföra över 400 miljoner dollar.
Gör det här igen eftersom min andra citat-tweet blev censurerad av tweeter. Arbitrum bridge bugg är kritisk bridge bug #3 som orsakas av dåliga initialiserare, ifall vi behövde ytterligare en anledning att bli av med initializers. Surprised Arbitrum betalade bara 400 ETH och inte maxpremie givet insättningar som: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
— smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) September 20, 2022
Samtidigt är broexploater en av de största säkerhetsproblemen i kryptoindustrin för närvarande. Attacker på broar har lett till förlust på nästan 1 miljard dollar bara under det senaste året.
Källa: https://cryptoslate.com/white-hat-hacker-grumbles-over-arbitrum-bounty-reward-after-saving-network-from-475m-loss/