Riptide، یک هکر کلاه سفید که آسیبپذیری را در Arbitrum کشف کرد، در توییتی نوشت که یافتهاش به جای 2، حداکثر پاداش 400 میلیون دلاری را دارد. ETH (53,000 دلار) جایزه دریافت کرد.
مشکل بزرگی نیست، فقط از طریق همان قرارداد Inbox یک پل 470 میلی متری جالب را انجام دهید
قطعاً باید واجد شرایط حداکثر جایزه باشد
— riptide (@0xriptide) سپتامبر 20، 2022
ابزار مقیاسپذیری اتریوم Arbitrum پس از اینکه هکر یک آسیبپذیری را در پلی که شبکه لایه 2 را به شبکه اصلی ETH متصل میکند، شناسایی کرد، از هک چند میلیون دلاری فرار کرد. این آسیبپذیری بر نحوه ارسال و پردازش تراکنشها در شبکه تأثیر میگذارد و به بازیکنان مخرب اجازه میدهد تمام وجوه ارسال شده به شبکه لایه 2 را به سرقت ببرند.
آسیب پذیری
مطابق برای هکر کلاه سفید، تراکنشهای ورودی به Arbitrum از طریق پل میتواند توسط بازیکنان مخرب ربوده شود که میتوانند آدرس خود را به عنوان آدرس گیرنده تنظیم کنند.
Riptide ادامه داد که اگر هکر فقط سپردههای بزرگ ETH را هدف قرار میداد، چنین سوءاستفادهای میتوانست برای مدت طولانی شناسایی نشده باشد، یا میتوانستند سپرده اصلی ETH بعدی را پیش ببرند.
با توجه به اینکه بیشترین سپرده در قرارداد صندوق ورودی در 24 ساعت گذشته 168,000 ETH (250 میلیون دلار) بوده است، سوء استفاده از این آسیبپذیری میتوانست به صدها میلیون ضرر منجر شود.
پاداش جایزه
در حالی که Riptide در ابتدا Arbitrum را برای پاداش 400 ETH ستایش کرد، هکر کلاه سفید بعداً توییت کرد که کار او مستحق حداکثر جایزه 2 میلیون دلاری است.
جریان اب نامرتب گفت::
"منظور من این است که اگر جایزه 2 میلی متری ارسال می کنید - آماده باشید که آن را زمانی که موجه است پرداخت کنید. در غیر این صورت، فقط بگویید حداکثر جایزه 400 ETH است و با آن تمام می شود. هکرها تماشا می کنند که کدام پروژه ها پرداخت می کنند و کدام نه. IMO ایده خوبی برای تشویق یک کلاه سفید برای رفتن به کلاه سیاه نیست.
نظرات جدید Riptide پس از آن مطرح شد که یکی از کاربران توییتر نشان داد که این پل اخیرا برای انتقال بیش از 400 میلیون دلار استفاده شده است.
از زمانی که توییت نقل قول دیگر من توسط توییتر سانسور شد، این کار را دوباره انجام دادم. اشکال پل Arbitrum یک اشکال مهم پل شماره 3 است که توسط اولیه سازهای بد ایجاد می شود، در صورتی که به دلیل دیگری برای خلاص شدن از شر اولیه کننده ها نیاز داشته باشیم. Surprised Arbitrum فقط 400 ETH پرداخت کرد و نه حداکثر انعام سپردههایی مانند: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
— smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) سپتامبر 20، 2022
در همین حال، اکسپلویت های پل یکی از بزرگترین نگرانی های امنیتی در صنعت کریپتو در حال حاضر است. حملات به پل ها منجر به خاموش تنها در سال گذشته حدود 1 میلیارد دلار بوده است.
منبع: https://cryptoslate.com/white-hat-hacker-grumbles-over-arbitrum-bounty-reward-after-saving-network-from-475m-loss/