Riptide 是一名在 Arbitrum 上发现漏洞的白帽黑客,他在推特上表示,他的发现有资格获得最高 2 万美元的赏金奖励,而不是 400 美元。 ETH (53,000 美元)他得到的奖励。
没什么大不了的,只需通过同一份收件箱合同就可以支付 470 美元的酷费👀
绝对应该有资格获得最大赏金
— 激流 (@0xriptide) 2022 年 9 月 20 日
以太坊扩容工具 Arbitrum 在黑客发现连接第 2 层网络和 ETH 主网的桥接器中存在漏洞后,逃脱了数百万美元的黑客攻击。 该漏洞影响了交易在网络上的提交和处理方式,并允许恶意玩家窃取发送到 layer2 网络的所有资金。
漏洞
根据 对于白帽黑客来说,通过网桥传入 Arbitrum 的交易可能会被恶意玩家劫持,他们可以将其地址设置为接收地址。
Riptide 继续说,如果黑客只针对大量 ETH 存款,或者他们可能只是抢占了下一个主要的 ETH 存款,那么这种利用可能会在很长一段时间内未被发现。
鉴于过去 24 小时内收件箱合约的最大存款为 168,000 ETH(250 亿美元),利用该漏洞可能导致数亿美元的损失。
赏金奖励
虽然 Riptide 最初赞扬 Arbitrum 的 400 ETH 奖励,但这位白帽黑客后来在推特上表示,他的工作应该得到最高 2 万美元的赏金。
激流 说过:
“我的观点是,如果您发布 2 毫米的赏金,请准备好在合理时支付。 否则,只需说最大赏金是 400 ETH 就可以了。 黑客观察哪些项目支付,哪些没有。 国际海事组织鼓励白帽党成为黑帽党并不是一个好主意。”
Riptide 的新评论是在 Twitter 用户显示该桥最近用于转移超过 400 亿美元之后发表的。
自从我的另一条引用推文被推特审查后,再次这样做。 Arbitrum 桥错误是由错误的初始化程序引起的关键桥错误 #3,以防我们需要另一个理由来摆脱初始化程序。 惊讶的 Arbitrum 只支付了 400 ETH 而不是给定存款的最大赏金,例如: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
— smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) 2022 年 9 月 20 日
同时,桥接漏洞是目前加密行业最大的安全问题之一。 对桥梁的袭击导致 离 仅在过去的一年中就达到了近 1 亿美元。
资料来源:https://cryptoslate.com/white-hat-hacker-grumbles-over-arbitrum-bounty-reward-after-saving-network-from-475m-loss/