Riptide, האקר כובע לבן שגילה נקודת תורפה ב-Arbitrum, צייץ בטוויטר שהממצא שלו זכאי לפרס המקסימלי של 2 מיליון דולר במקום 400 ETH פרס ($53,000) שקיבל.
לא נורא רק לגשר על 470 מ"מ מגניב באמצעות אותו חוזה Inbox 👀
בהחלט צריך להיות זכאי לפרס מקסימלי
— riptide (@0xriptide) ספטמבר 20, 2022
כלי קנה המידה של Ethereum Arbitrum נמלט מפריצה של מיליוני דולרים לאחר שההאקר זיהה פגיעות בגשר המחבר את רשת layer2 לרשת המרכזית של ETH. הפגיעות השפיעה על אופן הגשת ועיבוד העסקאות ברשת והייתה מאפשרת לשחקנים זדוניים לגנוב את כל הכספים שנשלחו לרשת layer2.
הפגיעות
פי להאקר הכובע הלבן, עסקאות נכנסות לארביטרום דרך הגשר עלולות להיחטף על ידי שחקנים זדוניים שעלולים להגדיר את כתובתם ככתובת הנמען.
Riptide המשיך כי ניצול שכזה יכול היה לעבור ללא גילוי במשך זמן רב אם ההאקר היה מכוון רק להפקדות ETH גדולות, או שהם היו יכולים פשוט להפעיל את ההפקדה הגדולה הבאה של ETH.
בהתחשב בכך שההפקדה הגדולה ביותר בחוזה הדואר הנכנס ב-24 השעות האחרונות הייתה 168,000 ETH (250 מיליון דולר), ניצול הפגיעות יכול היה להוביל להפסד של מאות מיליונים.
פרס פרס
בעוד ריפטיד שיבח בתחילה את ארביטרום על הפרס של 400 ETH, האקר הכובעים הלבן צייץ מאוחר יותר כי עבודתו ראויה לפרס המקסימלי של 2 מיליון דולר.
גֵאוּת שׁוֹטֶפֶת אמר:
"הנקודה שלי היא שאם אתה מפרסם פרס של 2 מ"מ - תהיה מוכן לשלם אותו כשזה מוצדק. אחרת, פשוט תגיד שהשפע המקסימלי הוא 400 ETH ותסיים עם זה. האקרים צופים באילו פרויקטים משתלמים ואילו לא. IMO לא רעיון טוב לתמרץ כובע לבן לעבור כובע שחור.
ההערות החדשות של Riptide נאמרו לאחר שמשתמש בטוויטר הראה שהגשר שימש לאחרונה להעברת למעלה מ-400 מיליון דולר.
עושה זאת שוב מאז ציוץ הציטוט השני שלי צונזר על ידי הטוויטר. באג גשר ארביטרום הוא באג קריטי גשר מס' 3 שנגרם על ידי מאתחלים גרועים, למקרה שהיינו צריכים סיבה נוספת להיפטר מאתחולים. ארביטרום מופתע שילם רק 400 ETH ולא פרס מקסימלי בהפקדות כמו: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
— smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) ספטמבר 20, 2022
בינתיים, ניצול גשר הוא אחד מדאגות האבטחה הגדולות ביותר בתעשיית הקריפטו כיום. התקפות על גשרים הובילו ל את של כמעט מיליארד דולר בשנה האחרונה בלבד.
מקור: https://cryptoslate.com/white-hat-hacker-grumbles-over-arbitrum-bounty-reward-after-saving-network-from-475m-loss/