El 19 de septiembre, Arbitrum, una de las soluciones de capa 2 más populares para Ethereum, pagó 400 ETH (alrededor de $560,000 XNUMX) a un hacker de sombrero blanco que encontró una vulnerabilidad potencial en su código.
El hacker de sombrero blanco, conocido en Twitter como Riptide, encuentra vulnerabilidades dentro de los contratos inteligentes escritos en Solidity. Aguas revueltas dijo la "vulnerabilidad multimillonaria" podría afectar potencialmente a cualquiera que quisiera intercambiar fondos de Ethereum a Arbitrum Nitro.
No es gran cosa, solo un puente de $ 470 mm a través del mismo contrato de Inbox 👀
Definitivamente debería ser elegible para una recompensa máxima
— mareas altas (@0x mareas altas) 20 de septiembre de 2022
Arbitrum evitó pérdidas por millones de dólares
El hacker escaneó minuciosamente el código de Arbitrum Nitro unas semanas antes de su lanzamiento, comprobando los contratos para poder “ver si la actualización había sido un éxito”.
Una vez que el actualizar, Riptide notó algunos errores que impedían que el puente funcionara correctamente. Luego de una inspección adicional, Riptide notó que el secuenciador de la bandeja de entrada estaba experimentando un retraso.
“Un cliente puede enviar un mensaje al secuenciador firmando y publicando una transacción L1 en la bandeja de entrada diferida de la cadena Arbitrum. Esta funcionalidad se usa más comúnmente para depositar ETH o tokens a través de un puente".
Después de volver a escanear el contrato, Riptide confirmó que el error del secuenciador de la bandeja de entrada permitió una vulnerabilidad crítica en el contrato por la cual Riptide u otro pirata informático malintencionado podría haber obtenido millones de dólares al desviar los depósitos ETH entrantes del puente L1 al puente L2 en sus billeteras antes de ser detectado .
Mi artículo sobre la recompensa por errores en una vulnerabilidad crítica que descubrí en Arbitrum Nitro que permitió a un atacante robar todos los depósitos de ETH entrantes en el puente L1->L2
https://t.co/WuR4RYUL3L@icodeblockchain @samiamka2 @Mudit__Gupta @0xReclutador @BowTiedCrocodil @BowTiedDevil— mareas altas (@0x mareas altas) 20 de septiembre de 2022
Sin embargo, Riptide decidió informar la vulnerabilidad y solicitar una recompensa en su lugar, que para su sorpresa, fue de solo 400 ETH en lugar de la recompensa de $ 2 millones que Arbitrum ofreció como su nivel máximo. Al recibir la recompensa, el hacker argumentó que no estaba acorde con la importancia del bug y el riesgo que implicaba.
Mi punto es que si publica una recompensa de $ 2 mm, esté preparado para pagarla cuando esté justificada. De lo contrario, solo diga que la recompensa máxima es 400 ETH y termine con eso.
Los piratas informáticos observan qué proyectos pagan y cuáles no.
En mi opinión, no es una buena idea incentivar a un whitehat para que se vuelva blackhat
— mareas altas (@0x mareas altas) 20 de septiembre de 2022
Cabe mencionar que en marzo de 2022, Arbitrum fue víctima de un explotar en el que un pirata informático o un grupo de piratas informáticos robaron más de 100 NFT de TreasureDAO, con una valoración de al menos $ 1.4 millones.
Hackers de sombrero blanco: un negocio lucrativo en Crypto-Land
La auditoría independiente es de gran importancia en el ecosistema criptográfico. A lo largo del año, varias plataformas han optado por pagar recompensas a los hackers de sombrero blanco que informan sobre posibles vulnerabilidades en su código o contratos inteligentes.
Por ejemplo, a mediados de febrero, Coinbase pagado “la recompensa más grande de su historia” ($250,000) a un hacker llamado “Tree of Alpha” por salvarlos de una pérdida de mil millones de dólares debido a una falla en la función “Advanced Trading”.
En ese momento, Tree of Alpha estaba agradecido por el pago afirmando que podría servirle bien en la jubilación; sin embargo, al igual que Riptide, señaló que "una recompensa más alta podría haber sido inteligente para disuadir a más sombreros grises de explotar las vulnerabilidades".
Además, Jay “Saurik” Freeman —quien trabaja con el protocolo VPN descentralizado Orchid y es una leyenda en el Comunidad iOS jailbreak-recibió más de $ 2 millones por informar una vulnerabilidad en Optimism, una "solución de escalado de capa 2" para Ethereum.
Binance Free $ 100 (Exclusivo): Use este enlace para registrarse y recibir $ 100 gratis y 10% de descuento en tarifas en Binance Futures el primer mes (términos).
Oferta especial PrimeXBT: Use este enlace para registrarse e ingresar el código POTATO50 para recibir hasta $7,000 en sus depósitos.
Fuente: https://cryptopotato.com/arbitrum-rewards-hacker-with-400-eth-for-detecting-a-critical-400m-vulnerability/