Hacker mũ trắng phàn nàn về phần thưởng tiền thưởng Arbitrum sau khi cứu mạng khỏi khoản lỗ 475 triệu đô la

Riptide, một hacker mũ trắng đã phát hiện ra lỗ hổng trên Arbitrum, đã tweet rằng phát hiện của anh ta đủ điều kiện nhận phần thưởng tiền thưởng tối đa là 2 triệu đô la thay vì phần thưởng 400 ETH (53.000 đô la) mà anh ta nhận được.

Không có vấn đề gì lớn chỉ là bắc cầu $ 470mm mát mẻ thông qua cùng một hợp đồng Hộp thư đến 👀

Chắc chắn phải đủ điều kiện nhận tiền thưởng tối đa

🤯 https://t.co/w7S58QNQZu

– riptit (@ 0xriptit) 20 tháng 9 năm 2022

Công cụ mở rộng quy mô Ethereum Arbitrum đã thoát khỏi một vụ hack trị giá hàng triệu đô la sau khi hacker phát hiện ra một lỗ hổng trong cây cầu kết nối mạng layer2 với mạng chính của ETH. Lỗ hổng bảo mật ảnh hưởng đến cách các giao dịch được gửi và xử lý trên mạng và có thể cho phép những kẻ xấu ăn cắp tất cả số tiền được gửi đến mạng layer2.

Lỗ hổng

Theo đối với tin tặc mũ trắng, các giao dịch đến Arbitrum thông qua cầu nối có thể bị tấn công bởi những người chơi độc hại có thể đặt địa chỉ của họ làm địa chỉ người nhận.

Riptide tiếp tục rằng việc khai thác như vậy có thể không bị phát hiện trong một thời gian dài nếu hacker chỉ nhắm mục tiêu vào các khoản tiền gửi ETH lớn hoặc họ có thể chỉ chạy trước khoản tiền gửi ETH lớn tiếp theo.

Do khoản tiền gửi lớn nhất trên hợp đồng hộp thư đến trong 24 giờ qua là 168.000 ETH (250 triệu đô la), việc khai thác lỗ hổng bảo mật có thể dẫn đến thiệt hại hàng trăm triệu đồng.

Phần thưởng tiền thưởng

Trong khi Riptide ban đầu ca ngợi Arbitrum về phần thưởng 400 ETH, thì sau đó, hacker mũ trắng đã tweet rằng công việc của anh ta xứng đáng nhận được tiền thưởng tối đa là 2 triệu đô la.

lộn với sóng dữ nói:

“Quan điểm của tôi là nếu bạn đăng tiền thưởng $ 2mm – hãy chuẩn bị trả nó khi nó chính đáng. Nếu không, chỉ cần nói tiền thưởng tối đa là 400 ETH và hoàn tất việc đó. Tin tặc theo dõi dự án nào trả tiền và dự án nào không. IMO không phải là một ý kiến ​​hay khi khuyến khích người da trắng đi theo người da đen ”.

Bình luận mới của Riptide được đưa ra sau khi một người dùng Twitter cho thấy cây cầu gần đây đã được sử dụng để chuyển hơn 400 triệu USD.

Làm điều này một lần nữa vì tweet trích dẫn khác của tôi đã được kiểm duyệt bởi tweeter. Lỗi cầu Arbitrum là lỗi cầu quan trọng số 3 do trình khởi tạo không hợp lệ gây ra, trong trường hợp chúng tôi cần một lý do khác để loại bỏ trình khởi tạo. Arbitrum ngạc nhiên chỉ trả 400 ETH và không phải tiền thưởng tối đa khi gửi tiền như: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k

– smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) 20 tháng 9 năm 2022

Trong khi đó, khai thác cầu nối là một trong những mối quan tâm bảo mật lớn nhất trong ngành tiền điện tử hiện nay. Các cuộc tấn công vào các cây cầu đã dẫn đến thiệt hại gần 1 tỷ đô la chỉ trong năm qua.