Riptide, ein White-Hat-Hacker, der eine Schwachstelle auf Arbitrum entdeckte, twitterte, dass sein Fund für die maximale Kopfgeldprämie von 2 Millionen Dollar statt der 400 in Frage komme ETH ($53,000) Belohnung, die er bekam.
Keine große Sache, nur coole 470 Millionen US-Dollar durch denselben Inbox-Vertrag zu überbrücken 👀
Es sollte auf jeden Fall Anspruch auf ein maximales Kopfgeld haben
— Springflut (@0xripflut) 20. September 2022
Das Ethereum-Skalierungstool Arbitrum entkam einem Multimillionen-Dollar-Hack, nachdem der Hacker eine Schwachstelle in der Brücke entdeckt hatte, die das Layer2-Netzwerk mit dem Mainnet der ETH verbindet. Die Schwachstelle wirkte sich darauf aus, wie Transaktionen im Netzwerk übermittelt und verarbeitet werden, und hätte es böswilligen Spielern ermöglicht, alle an das Layer2-Netzwerk gesendeten Gelder zu stehlen.
Die Verwundbarkeit
Nach Für den White-Hat-Hacker könnten eingehende Transaktionen an Arbitrum über die Brücke von böswilligen Spielern entführt werden, die ihre Adresse als Empfängeradresse festlegen könnten.
Riptide fuhr fort, dass ein solcher Exploit lange Zeit unentdeckt geblieben sein könnte, wenn der Hacker nur auf große ETH-Einlagen abzielte, oder er hätte einfach die nächste große ETH-Einlage vorantreiben können.
Angesichts der Tatsache, dass die größte Einzahlung auf den Posteingangsvertrag in den letzten 24 Stunden 168,000 ETH (250 Millionen US-Dollar) betrug, hätte das Ausnutzen der Schwachstelle zu einem Verlust von Hunderten von Millionen führen können.
Bounty-Belohnung
Während Riptide Arbitrum zunächst für die Belohnung von 400 ETH lobte, twitterte der White-Hat-Hacker später, dass seine Arbeit die maximale Prämie von 2 Millionen Dollar verdient habe.
Kabbelung sagte:
„Mein Punkt ist, dass Sie, wenn Sie ein Kopfgeld von 2 Millionen Dollar aussetzen, bereit sind, es zu zahlen, wenn es gerechtfertigt ist. Andernfalls sagen Sie einfach, dass die maximale Prämie 400 ETH beträgt, und fertig. Hacker beobachten, welche Projekte sich auszahlen und welche nicht. Meiner Meinung nach keine gute Idee, einen Weißen dazu zu bringen, ein Schwarzer zu werden.“
Die neuen Kommentare von Riptide wurden abgegeben, nachdem ein Twitter-Nutzer zeigte, dass die Brücke kürzlich verwendet wurde, um über 400 Millionen Dollar zu überweisen.
Ich mache das noch einmal, seit mein anderer Zitat-Tweet vom Hochtöner zensiert wurde. Der Arbitrum-Bridge-Bug ist der kritische Bridge-Bug Nr. 3, der durch schlechte Initialisierer verursacht wird, falls wir einen anderen Grund brauchten, um Initialisierer loszuwerden. Überrascht Arbitrum zahlte nur 400 ETH und nicht die maximale Prämie bei Einzahlungen wie: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
— smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) 20. September 2022
Inzwischen sind Bridge-Exploits derzeit eines der größten Sicherheitsprobleme in der Kryptoindustrie. Angriffe auf Brücken haben dazu geführt Verlust von fast 1 Milliarde Dollar allein im vergangenen Jahr.
Quelle: https://cryptoslate.com/white-hat-hacker-grumbles-over-arbitrum-bounty-reward-after-saving-network-from-475m-loss/