Riptide 是一名在 Arbitrum 上發現漏洞的白帽黑客,他在推特上表示,他的發現有資格獲得最高 2 萬美元的賞金獎勵,而不是 400 美元。 ETH (53,000 美元)他得到的獎勵。
沒什麼大不了的,只需通過同一份收件箱合同就可以支付 470 美元的酷費👀
絕對應該有資格獲得最大賞金
— 激流 (@0xriptide) 2022 年 9 月 20 日
在黑客發現將 layer2 網絡連接到 ETH 主網的橋接漏洞後,以太坊擴展工具 Arbitrum 逃脫了數百萬美元的黑客攻擊。 該漏洞影響了交易在網絡上提交和處理的方式,並允許惡意玩家竊取發送到 layer2 網絡的所有資金。
漏洞
據 對於白帽黑客來說,通過網橋傳入 Arbitrum 的交易可能會被惡意玩家劫持,他們可以將其地址設置為接收地址。
Riptide 繼續說,如果黑客只針對大量 ETH 存款,或者他們可能只是搶占了下一個主要的 ETH 存款,那麼這種利用可能會在很長一段時間內未被發現。
鑑於過去 24 小時內收件箱合約的最大存款為 168,000 ETH(250 億美元),利用該漏洞可能導致數億美元的損失。
賞金獎勵
雖然 Riptide 最初稱讚 Arbitrum 的 400 ETH 獎勵,但這位白帽黑客後來在推特上表示,他的工作應該得到最高 2 萬美元的賞金。
激流 說過:
“我的觀點是,如果您發布 2 毫米的賞金,請準備好在合理時支付。 否則,只需說最大賞金是 400 ETH 就可以了。 黑客觀察哪些項目支付,哪些沒有。 國際海事組織鼓勵白帽黨成為黑帽黨並不是一個好主意。”
Riptide 的新評論是在 Twitter 用戶顯示該橋最近用於轉移超過 400 億美元之後發表的。
自從我的另一條引用推文被推特審查後,再次這樣做。 Arbitrum 橋錯誤是由錯誤的初始化程序引起的關鍵橋錯誤 #3,以防我們需要另一個理由來擺脫初始化程序。 驚訝的 Arbitrum 只支付了 400 ETH 而不是給定存款的最大賞金,例如: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
— smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) 2022 年 9 月 20 日
同時,橋接漏洞是目前加密行業最大的安全問題之一。 對橋樑的襲擊導致 關閉 僅在過去的一年中就達到了近 1 億美元。
資料來源:https://cryptoslate.com/white-hat-hacker-grumbles-over-arbitrum-bounty-reward-after-saving-network-from-475m-loss/