Arbitrum Rewards Penggodam Dengan 400 ETH Untuk Mengesan Kerentanan $400M Kritikal

Pada 19 September, Arbitrum, salah satu daripada penyelesaian Layer 2 yang paling popular untuk Ethereum, membayar 400 ETH (kira-kira $560,000) kepada penggodam topi putih yang menemui potensi kelemahan dalam kodnya.

Penggodam topi putih, yang dikenali di Twitter sebagai Riptide, menemui kelemahan dalam kontrak pintar yang ditulis dalam Solidity. Riptide berkata "kelemahan berjuta-juta dolar" berpotensi menjejaskan sesiapa sahaja yang ingin menukar dana daripada Ethereum kepada Arbitrum Nitro.

Bukan masalah besar hanya merapatkan $470mm yang hebat melalui kontrak Peti Masuk yang sama 👀

Sudah tentu layak untuk hadiah maksimum

🤯 https://t.co/w7S58QNQZu

— riptide (@0xriptide) September 20, 2022

Arbitrum Menghalang Kerugian Berjuta-juta Dolar

Penggodam telah mengimbas kod Arbitrum Nitro dengan teliti beberapa minggu sebelum ia dikeluarkan, menyemak kontrak supaya mereka boleh "melihat jika kemas kini telah berjaya."

Selepas menaik taraf, Riptide melihat beberapa ralat yang menghalang jambatan daripada berfungsi dengan betul. Selepas pemeriksaan lanjut, Riptide mendapati bahawa penjujukan peti masuk mengalami kelewatan.

“Pelanggan boleh menghantar mesej kepada Sequencer dengan menandatangani dan menerbitkan transaksi L1 dalam Peti Masuk Tertunda rantaian Arbitrum. Fungsi ini paling biasa digunakan untuk mendepositkan ETH atau token melalui jambatan."

Selepas mengimbas semula kontrak, Riptide mengesahkan bahawa pepijat penjujukan peti masuk membenarkan kerentanan kritikal dalam kontrak yang mana Riptide atau penggodam berniat jahat lain boleh memperoleh berjuta-juta dolar dengan mengalihkan deposit ETH masuk dari L1 ke jambatan L2 ke dalam dompet mereka sebelum dikesan .

Tulisan hadiah pepijat saya mengenai kerentanan kritikal yang saya temui di Arbitrum Nitro yang membenarkan penyerang mencuri semua deposit ETH yang masuk ke jambatan L1->L2
https://t.co/WuR4RYUL3L@icodeblockchain @samiamka2 @Mudit__Gupta @0xRecruiter @BowTiedCrocodil @BowTiedDevil

— riptide (@0xriptide) September 20, 2022

Walau bagaimanapun, Riptide memutuskan untuk melaporkan kelemahan dan memohon ganjaran sebaliknya, yang mengejutkan mereka, hanyalah 400 ETH dan bukannya ganjaran $2 juta yang ditawarkan Arbitrum sebagai peringkat maksimumnya. Setelah menerima ganjaran, penggodam berhujah bahawa ia tidak selaras dengan kepentingan pepijat dan risiko yang ditimbulkannya.

Maksud saya ialah jika anda menghantar hadiah $2mm- bersedialah untuk membayarnya apabila ia wajar. Jika tidak, katakan sahaja hadiah maksimum ialah 400 ETH dan selesai dengannya.

Penggodam melihat projek mana yang membayar dan mana yang tidak

IMO bukan idea yang baik untuk memberi insentif kepada whitehat untuk menjadi blackhat

— riptide (@0xriptide) September 20, 2022

Perlu dinyatakan bahawa pada Mac 2022, Arbitrum telah menjadi mangsa a mengeksploitasi di mana penggodam atau sekumpulan penggodam mencuri lebih daripada 100 NFT daripada TreasureDAO, dengan penilaian sekurang-kurangnya $1.4 juta.

Penggodam White Hat: Perniagaan yang Menguntungkan di Crypto-Land

Pengauditan bebas adalah sangat penting dalam ekosistem crypto. Sepanjang tahun ini, beberapa platform telah memilih untuk membayar ganjaran kepada penggodam topi putih yang melaporkan potensi kelemahan dalam kod atau kontrak pintar mereka.

Sebagai contoh, pada pertengahan Februari, Coinbase dibayar "kurniaan terbesar dalam sejarahnya" ($250,000) kepada penggodam bernama "Tree of Alpha" kerana menyelamatkan mereka daripada kerugian berbilion dolar akibat kecacatan dalam ciri "Perdagangan Lanjutan".

Pada masa itu, Tree of Alpha berterima kasih atas pembayaran yang menyatakan bahawa ia boleh memberi manfaat kepada beliau semasa bersara; walau bagaimanapun, seperti Riptide, dia menyatakan bahawa "kurniaan yang lebih tinggi mungkin bijak untuk menghalang lebih banyak topi kelabu daripada mengeksploitasi kelemahan."

Juga, Jay “Saurik” Freeman —yang bekerja dengan protokol VPN terdesentralisasi Orchid dan merupakan legenda dalam Komuniti jailbreak iOS-menerima lebih $2 juta untuk melaporkan kelemahan dalam Optimisme, "penyelesaian penskalaan lapisan 2" untuk Ethereum.