Arbitrum에서 취약점을 발견한 화이트 햇 해커인 Riptide는 자신의 발견이 2달러 대신 400만 달러의 최대 현상금을 받을 자격이 있다고 트윗했습니다. ETH ($53,000) 보상을 받았습니다.
동일한 받은 편지함 계약을 통해 멋진 $470mm를 연결하는 것만으로도 큰 문제는 없습니다 👀
확실히 최대 현상금을 받을 자격이 있어야 합니다.
— 립타이드(@0xriptide) 2022 년 9 월 20 일
이더리움 확장 도구 Arbitrum은 해커가 Layer2 네트워크를 ETH의 메인넷에 연결하는 브리지에서 취약점을 발견한 후 수백만 달러의 해킹을 피했습니다. 이 취약점은 거래가 네트워크에서 제출 및 처리되는 방식에 영향을 미쳤으며 악의적인 플레이어가 layer2 네트워크로 전송된 모든 자금을 훔칠 수 있었습니다.
취약점
에 따르면 화이트 햇 해커에게 브리지를 통해 Arbitrum으로 들어오는 트랜잭션은 자신의 주소를 수신자 주소로 설정할 수 있는 악의적인 플레이어에 의해 하이재킹될 수 있습니다.
Riptide는 해커가 대규모 ETH 예금만을 목표로 삼았거나 다음 주요 ETH 예금을 미리 실행했을 경우 그러한 익스플로잇이 오랫동안 탐지되지 않았을 수 있다고 계속 말했습니다.
지난 24시간 동안 받은 편지함 계약의 가장 큰 보증금이 168,000 ETH(250억 XNUMX천만 달러)였다는 점을 감안할 때 취약점을 악용하면 수억의 손실이 발생할 수 있습니다.
현상금 보상
Riptide는 처음에 400 ETH 보상에 대해 Arbitrum을 칭찬했지만, 화이트 햇 해커는 나중에 그의 작업이 최대 2만 달러의 현상금을 받을 자격이 있다고 트윗했습니다.
조류를 타고 말했다:
“제 요점은 2백만 달러의 현상금을 게시하면 정당화될 때 지불할 준비가 되어 있다는 것입니다. 그렇지 않으면 최대 현상금이 400 ETH라고 말하고 완료하십시오. 해커는 어떤 프로젝트가 돈을 지불하고 어떤 프로젝트가 지불하지 않는지 관찰합니다. IMO는 화이트햇이 블랙햇으로 전환하도록 장려하는 것은 좋은 생각이 아닙니다."
Riptide의 새로운 논평은 Twitter 사용자가 이 다리가 최근 400억 달러 이상을 이체하는 데 사용되었음을 보여준 후에 만들어졌습니다.
내 다른 인용 트윗이 트위터에 의해 검열되었기 때문에 이 작업을 다시 수행합니다. Arbitrum 브리지 버그는 이니셜라이저를 제거하기 위해 다른 이유가 필요한 경우를 대비하여 잘못된 이니셜라이저로 인해 발생하는 중요한 브리지 버그 #3입니다. Surprised Arbitrum은 다음과 같은 예금이 주어지면 최대 현상금이 아닌 400 ETH만 지불했습니다. https://t.co/Lx32UVjDtF pic.twitter.com/cmx1HMI1k
— smartcontracts.eth(✨🔴_🔴✨)(@kelvinfichter) 2022 년 9 월 20 일
한편, 브리지 익스플로잇은 현재 암호화 산업에서 가장 큰 보안 문제 중 하나입니다. 교량에 대한 공격으로 인해 오프 지난 1년 동안에만 거의 XNUMX억 달러.
출처: https://cryptoslate.com/white-hat-hacker-grumbles-over-arbitrum-bounty-reward-after-saving-network-from-475m-loss/