Arbitrum wypłaca 400 ETH nagrody za znalezienie krytycznej luki

21 września 2022 18:18 ( aktualizacja: 21 września 2022 18:20 )

etyczny haker otrzymał 400 ETH za znalezienie luki w Arbitrum

Haker w białym kapeluszy odkrył w moście łączącym Ethereum i Arbitrum Nitro, które wykorzystane mogło doprowadzić do strat rzędu setek milionów dolarów. Za swoje odkrycie otrzymał nagrodę w wysokości 400 ETH ($...).

Haker, który jest znany na Twitterze jako Riptide, opisał, że wykorzystał funkcję inicjującą do ustawienia własnego adresu mostu, który przechwyciłby wszystkie przychodzące depozyty ETH od osób, które chciałyby przenieść fundusze z sieci Ethereum do Arbitrum Nitro.

Riptide wyjaśnił to w jednym ze swoich wpisów:

– Moglibyśmy albo selektywnie celować w duże depozyty ETH, aby pozostać przez dłuższy czas w ukryciu, wciągać każdy depozyt, który przechodzi przez most, lub czekać i po prostu ubiec następny pokaźny depozyt ETH.

Włamanie mogło potencjalnie przynieść nawet setki milionów ETH strat, ponieważ największy depozyt, jaki Riptide odnotował w skrzynce odbiorczej, wynosił 168 000 ETH o wartości ponad 225 mln USD. Typowe depozyty w ciągu 24 godzin wahały się od 1000 do 5000 ETH o wartości od 1,34 mln do 6,7 mln USD.

No big deal just bridging a cool $470mm through the same Inbox contract ?

Definitely should be eligible for a max bounty

? https://t.co/w7S58QNQZu

— riptide (@0xriptide) September 20, 2022

Haker zrezygnował z nielegalnych zysków

Pomimo możliwości uzyskania wysokich nielegalnych zysków, Riptide z wdzięcznością przyjął od zespołu Arbitrum nagrodę w wysokości 400 ETH (ponad 536 500 USD). Zespół Arbitrum przyznał później na Twitterze, że odkrycie kwalifikowało się do maksymalnej nagrody w wysokości 2 mln USD.

Arbitrum to rozwiązanie warstwy 2 Optimistic Rollup dla Ethereum, grupujące partie transakcji przed przesłaniem ich do sieci Ethereum w celu zminimalizowania przeciążenia sieci i zaoszczędzenia na opłatach. Arbitrum Nitro uruchomiony 31 sierpnia to aktualizacja mająca na celu uproszczenie komunikacji między Arbitrum i Ethereum, a także zwiększenie przepustowości transakcji przy niższych opłatach.

Podobne włamania do mostów okazały się w tym roku skuteczne, zwłaszcza w przypadku ataku na most Horizon, w którym skradziono 100 mln USD oraz most Nomad, w którym łupem hakerów padło 190 mln USD.