Arbitrum награждает хакера 400 ETH за обнаружение критической уязвимости стоимостью 400 миллионов долларов

19 сентября Arbitrum, одно из самых популярных решений уровня 2 для Ethereum, заплатило 400 ETH (около 560 000 долларов США) хакеру в белой шляпе, который обнаружил потенциальную уязвимость в его коде.

Хакер в белой шляпе, известный в Твиттере как Riptide, находит уязвимости в смарт-контрактах, написанных на Solidity. Riptide заявил, что «уязвимость на несколько миллионов долларов» потенциально может затронуть любого, кто хочет перевести средства с Ethereum на Arbitrum Nitro.

Ничего страшного, просто перекинуть крутые 470 миллионов долларов по тому же контракту Inbox 👀

Определенно должен иметь право на максимальную награду

🤯 https://t.co/w7S58QNQZu

— риптид (@0xriptide) 20 сентября 2022 г.

Arbitrum предотвратил миллионы долларов убытков

Хакер тщательно просканировал код Arbitrum Nitro за несколько недель до его выпуска, проверив контракты, чтобы «убедиться, что обновление было успешным».

После обновления Riptide заметил некоторые ошибки, которые мешали правильной работе моста. При дальнейшем осмотре Riptide заметил, что секвенсор входящих сообщений испытывает задержку.

«Клиент может отправить сообщение Sequencer, подписав и опубликовав транзакцию L1 в папке «Отложенные входящие» цепочки Arbitrum. Эта функция чаще всего используется для депозита ETH или токенов через мост».

После повторного сканирования контракта Riptide подтвердил, что ошибка секвенсора входящих сообщений допустила критическую уязвимость в контракте, из-за которой Riptide или другой злонамеренный хакер мог получить миллионы долларов, перенаправляя входящие депозиты ETH с моста L1 на L2 в кошелек до того, как они были обнаружены.

Мой отчет об ошибке в отношении критической уязвимости, которую я обнаружил на Arbitrum Nitro, которая позволила злоумышленнику украсть все входящие депозиты ETH на мост L1-> L2.
https://t.co/WuR4RYUL3L@icodeblockchain @samiamka2 @Mudit__Gupta @0xРекрутер @BowTiedCrocodil @BowTiedDevil

— риптид (@0xriptide) 20 сентября 2022 г.

Однако Riptide решил сообщить об уязвимости и вместо этого подать заявку на вознаграждение, которое, к их удивлению, составило всего 400 ETH вместо вознаграждения в размере 2 миллионов долларов, которое Arbitrum предлагал в качестве максимального уровня. Получив вознаграждение, хакер заявил, что оно не соответствует важности ошибки и риску, который она представляет.

Я хочу сказать, что если вы публикуете награду за 2 мм — будьте готовы заплатить ее, когда это будет оправдано. В противном случае просто скажите, что максимальная награда составляет 400 ETH, и покончим с этим.

Хакеры смотрят, какие проекты окупаются, а какие нет

ИМО, это не очень хорошая идея – поощрять белую шляпу становиться черной шляпой.

— риптид (@0xriptide) 20 сентября 2022 г.

Стоит отметить, что в марте 2022 года Arbitrum стал жертвой эксплойта, в ходе которого хакер или группа хакеров украли более 100 NFT у TreasureDAO на сумму не менее 1,4 миллиона долларов.

Белые хакеры: прибыльный бизнес в криптостране

Независимый аудит имеет большое значение в криптоэкосистеме. В течение года несколько платформ решили выплачивать вознаграждение белым хакерам, которые сообщают о потенциальных уязвимостях в коде или смарт-контрактах.

Например, в середине февраля База монет оплачена «крупнейшая награда в своей истории» (250 000 долларов) хакеру по имени «Дерево Альфа» за то, что он спас их от миллиардных потерь из-за ошибки в функции «Расширенная торговля».

В то время Tree of Alpha был благодарен за платеж, говоря, что он может хорошо послужить ему на пенсии; Однако, как и Riptide, он отметил, что «более высокая награда могла бы быть разумной, чтобы удержать больше серых шляп от использования уязвимостей».

Джей «Саурик» Фриман, который работает над децентрализованным VPN-протоколом Orchid и является легендой в сообществе джейлбрейков iOS.получил более 2 миллионов долларов за сообщение об уязвимости в Optimism, «решении для масштабирования уровня 2» для Ethereum.