19 月 2 日,以太坊最受歡迎的 Layer 400 解決方案之一 Arbitrum 向一名發現其代碼潛在漏洞的白帽黑客支付了 560,000 ETH(約合 XNUMX 美元)。
這位在 Twitter 上被稱為 Riptide 的白帽黑客在用 Solidity 編寫的智能合約中發現了漏洞。 激流 說過 “數百萬美元的漏洞”可能會影響任何想要將資金從以太坊交換到 Arbitrum Nitro 的人。
沒什麼大不了的,只需通過同一份收件箱合同就可以支付 470 美元的酷費👀
絕對應該有資格獲得最大賞金
— 激流 (@0xriptide) 2022 年 9 月 20 日
Arbitrum 避免了數百萬美元的損失
黑客在發布前幾週徹底掃描了 Arbitrum Nitro 代碼,檢查了合同,以便他們可以“查看更新是否成功”。
之後 升級, Riptide 注意到了一些錯誤,導致橋無法正常工作。 經過進一步檢查,Riptide 注意到收件箱音序器出現延遲。
“客戶端可以通過在 Arbitrum 鏈的延遲收件箱中籤署和發布 L1 交易來向 Sequencer 發送消息。 此功能最常用於通過網橋存入 ETH 或代幣。”
在重新掃描合約後,Riptide 確認收件箱排序器漏洞允許合約中存在嚴重漏洞,通過該漏洞,Riptide 或其他惡意黑客可以通過將傳入的 ETH 存款從 L1 轉移到 L2 橋接器進入他們的錢包,然後再被檢測到,從而獲得數百萬美元.
我在 Arbitrum Nitro 上發現的一個嚴重漏洞的漏洞賞金報告,該漏洞允許攻擊者竊取所有傳入的 ETH 存款到 L1->L2 橋
https://t.co/WuR4RYUL3L@icode區塊鏈 @samiamka2 @Mudit__古普塔 @0x招聘人員 @BowTiedCrocodil @BowTiedDevil— 激流 (@0xriptide) 2022 年 9 月 20 日
然而,Riptide 決定報告該漏洞併申請獎勵,令他們驚訝的是,這只是 400 ETH,而不是 Arbitrum 提供的 2 萬美元的最高獎勵。 收到獎勵後,黑客辯稱這不符合漏洞的重要性及其帶來的風險。
我的觀點是,如果您發布 2 毫米的賞金,請準備好在合理時支付。 否則,只需說最大賞金是 400 ETH 就可以了。
黑客觀察哪些項目支付,哪些沒有
IMO 不是鼓勵白帽去黑帽的好主意
— 激流 (@0xriptide) 2022 年 9 月 20 日
值得一提的是,2022 年 XNUMX 月,Arbitrum 成為 利用 其中一名黑客或一群黑客從 TreasureDAO 竊取了 100 多個 NFT,估值至少 1.4 萬美元。
白帽黑客:Crypto-Land 中的一項有利可圖的業務
獨立審計在加密生態系統中非常重要。 在這一年中,一些平台選擇向報告其代碼或智能合約中潛在漏洞的白帽黑客支付獎金。
例如,在 XNUMX 月中旬, Coinbase 支付 “其歷史上最大的賞金”(250,000 美元)給一個名為“阿爾法之樹”的黑客,以使他們免於因“高級交易”功能的缺陷而遭受的數十億美元的損失。
當時,阿爾法之樹對這筆款項表示感謝,稱這筆款項可以在退休後為他提供良好的服務。 然而,像激流一樣,他指出“更高的賞金可能是明智的,可以阻止更多的灰帽子利用漏洞。”
此外,Jay “Saurik” Freeman — 與去中心化 VPN 協議 Orchid 合作,是世界上的傳奇人物。 iOS越獄社區 - 收到超過 2 萬美元 用於報告 Optimism 中的漏洞,這是以太坊的“第 2 層擴展解決方案”。
資料來源:https://cryptopotato.com/arbitrum-rewards-hacker-with-400-eth-for-detecting-a-critical-400m-vulnerability/