Riptide, penggodam topi putih yang menemui kelemahan pada Arbitrum, menulis tweet bahawa penemuannya layak untuk ganjaran hadiah maksimum $2 juta dan bukannya 400 ETH ganjaran ($53,000) yang dia dapat.
Bukan masalah besar hanya merapatkan $470mm yang hebat melalui kontrak Peti Masuk yang sama 👀
Sudah tentu layak untuk hadiah maksimum
— riptide (@0xriptide) September 20, 2022
Alat penskalaan Ethereum Arbitrum terlepas daripada penggodaman berjuta-juta dolar selepas penggodam melihat kelemahan dalam jambatan yang menghubungkan rangkaian layer2 ke mainnet ETH. Kerentanan mempengaruhi cara transaksi diserahkan dan diproses pada rangkaian dan akan membenarkan pemain berniat jahat mencuri semua dana yang dihantar ke rangkaian layer2.
Keterdedahan itu
Menurut kepada penggodam topi putih, transaksi masuk ke Arbitrum melalui jambatan boleh dirampas oleh pemain berniat jahat yang boleh menetapkan alamat mereka sebagai alamat penerima.
Riptide meneruskan bahawa eksploitasi sedemikian mungkin tidak dapat dikesan untuk masa yang lama jika penggodam hanya menyasarkan deposit ETH yang besar, atau mereka hanya boleh menjalankan deposit ETH utama yang seterusnya.
Memandangkan deposit terbesar pada kontrak peti masuk dalam tempoh 24 jam terakhir ialah 168,000 ETH ($250 juta), mengeksploitasi kelemahan itu boleh menyebabkan kerugian ratusan juta.
Ganjaran kurniaan
Walaupun Riptide pada mulanya memuji Arbitrum untuk ganjaran 400 ETH, penggodam topi putih itu kemudiannya menulis tweet bahawa kerjanya layak menerima hadiah maksimum $2 juta.
Riptide berkata:
“Maksud saya ialah jika anda menghantar hadiah $2mm — bersedia untuk membayarnya apabila ia wajar. Jika tidak, sebut sahaja hadiah maksimum ialah 400 ETH dan selesai dengannya. Penggodam melihat projek mana yang membayar dan mana yang tidak. IMO bukan idea yang baik untuk memberi insentif kepada whitehat untuk menjadi blackhat."
Komen baharu Riptide dibuat selepas pengguna Twitter menunjukkan bahawa jambatan itu baru-baru ini digunakan untuk memindahkan lebih $400 juta.
Melakukan ini sekali lagi kerana tweet petikan saya yang lain telah ditapis oleh tweeter. Pepijat jambatan Arbitrum ialah pepijat jambatan kritikal #3 yang disebabkan oleh pemula yang buruk, sekiranya kami memerlukan sebab lain untuk menyingkirkan pemula. Arbitrum Terkejut hanya membayar 400 ETH dan bukan hadiah maksimum yang diberikan deposit seperti: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
— smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) September 20, 2022
Sementara itu, eksploitasi jambatan adalah salah satu kebimbangan keselamatan terbesar dalam industri crypto pada masa ini. Serangan ke atas jambatan telah membawa kepada off hampir $1 bilion pada tahun lalu sahaja.
Sumber: https://cryptoslate.com/white-hat-hacker-grumbles-over-arbitrum-bounty-reward-after-saving-network-from-475m-loss/