Am 19. September hat Arbitrum, eine der beliebtesten Layer-2-Lösungen für Ethereumzahlte 400 ETH (etwa 560.000 US-Dollar) an einen White-Hat-Hacker, der eine potenzielle Schwachstelle in seinem Code fand.
Der White-Hat-Hacker, auf Twitter als Riptide bekannt, findet Schwachstellen in Smart Contracts, die in Solidity geschrieben sind. Springflut sagte Die „Multi-Millionen-Dollar-Schwachstelle“ könnte potenziell jeden betreffen, der Gelder umtauschen wollte Ethereum zu Arbitrum Nitro.
Keine große Sache, nur coole 470 Millionen US-Dollar durch denselben Inbox-Vertrag zu überbrücken 👀
Es sollte auf jeden Fall Anspruch auf ein maximales Kopfgeld haben
— Springflut (@0xripflut) 20. September 2022
Arbitrum hat Verluste in Millionenhöhe verhindert
Der Hacker scannte den Arbitrum Nitro-Code einige Wochen vor seiner Veröffentlichung gründlich und überprüfte die Verträge, damit er „sehen konnte, ob das Update ein Erfolg war“.
Nach dem Aktualisierung, Riptide hat einige Fehler bemerkt, die die Brücke daran gehindert haben, richtig zu funktionieren. Bei einer weiteren Untersuchung bemerkte Springflut, dass der Posteingangssequenzer eine Verzögerung hatte.
„Ein Kunde kann eine Nachricht an den Sequencer senden, indem er eine L1-Transaktion signiert und in der verzögerten Inbox der Arbitrum-Kette veröffentlicht. Diese Funktionalität wird am häufigsten für die Hinterlegung von ETH oder Token über eine Bridge verwendet.“
Nach dem erneuten Scannen des Vertrags bestätigte Riptide, dass der Inbox-Sequencer-Bug eine kritische Schwachstelle im Vertrag zuließ, durch die Riptide oder ein anderer böswilliger Hacker Millionen von Dollar hätte erlangen können, indem sie eingehende ETH-Einzahlungen von der L1- zur L2-Brücke in ihre Wallets umleiteten, bevor sie entdeckt wurden .
Mein Bug-Bounty-Bericht zu einer kritischen Schwachstelle, die ich auf Arbitrum Nitro entdeckt habe und die es einem Angreifer ermöglichte, alle eingehenden ETH-Einlagen auf der L1->L2-Brücke zu stehlen
https://t.co/WuR4RYUL3L@icodeblockchain @samiamka2 @Mudit__Gupta @0xRecruiter @BowTiedCrocodil @BowTiedDevil
— Springflut (@0xripflut) 20. September 2022
Riptide beschloss jedoch, die Schwachstelle zu melden und stattdessen eine Belohnung zu beantragen, die zu ihrer Überraschung nur 400 ETH betrug, anstatt der 2-Millionen-Dollar-Belohnung, die Arbitrum als maximale Stufe anbot. Nach Erhalt der Belohnung argumentierte der Hacker, dass dies nicht der Bedeutung des Fehlers und dem damit verbundenen Risiko entspreche.
Mein Punkt ist, dass Sie, wenn Sie ein Kopfgeld von 2 Millionen Dollar aussetzen, bereit sind, es zu zahlen, wenn es gerechtfertigt ist. Andernfalls sagen Sie einfach, dass die maximale Prämie 400 ETH beträgt, und fertig.
Hacker beobachten, welche Projekte sich auszahlen und welche nicht
Meiner Meinung nach keine gute Idee, einen Whitehat dazu zu bringen, Blackhat zu werden
— Springflut (@0xripflut) 20. September 2022
Erwähnenswert ist, dass Arbitrum im März 2022 Opfer eines Ausbeuten bei dem ein Hacker oder eine Gruppe von Hackern mehr als 100 NFT von TreasureDAO mit einem Wert von mindestens 1,4 Millionen US-Dollar gestohlen hat.
White-Hat-Hacker: Ein lukratives Geschäft im Krypto-Land
Unabhängige Audits sind im Krypto-Ökosystem von großer Bedeutung. Im Laufe des Jahres haben sich mehrere Plattformen dafür entschieden, Prämien an White-Hat-Hacker zu zahlen, die potenzielle Schwachstellen in ihrem Code oder ihren Smart Contracts melden.
Mitte Februar z. Coinbase bezahlt „das größte Kopfgeld in seiner Geschichte“ (250.000 US-Dollar) an einen Hacker namens „Tree of Alpha“, weil er sie vor einem Milliardenverlust aufgrund eines Fehlers in der „Advanced Trading“-Funktion bewahrt hat.
Zu dieser Zeit war Tree of Alpha dankbar für die Zahlung, die besagte, dass sie ihm im Ruhestand gute Dienste leisten könnte; Wie Riptide bemerkte er jedoch, dass „ein höheres Kopfgeld klug gewesen wäre, um mehr Grey Hats davon abzuhalten, Schwachstellen auszunutzen.“
Auch Jay „Saurik“ Freeman – der mit dem dezentralen VPN-Protokoll Orchid arbeitet und eine Legende in der ist iOS-Jailbreak-Community—erhielt über 2 Millionen Dollar für das Melden einer Schwachstelle in Optimism, einer „Layer-2-Skalierungslösung“ für Ethereum.
<script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>