قام Riptide ، أحد المتسللين ذوي القبعة البيضاء الذي اكتشف ثغرة أمنية في Arbitrum ، بالتغريد بأن اكتشافه كان مؤهلاً للحصول على مكافأة المكافأة القصوى البالغة 2 مليون دولار بدلاً من 400 ETH (53,000 دولار) مكافأة حصل عليها.
لا توجد مشكلة كبيرة مجرد سد مبلغ 470 مم رائعًا من خلال نفس عقد البريد الوارد 👀
بالتأكيد يجب أن تكون مؤهلاً للحصول على أقصى مكافأة
- riptide (@ 0xriptide) 20 سبتمبر 2022
نجت أداة تحجيم Ethereum Arbitrum من اختراق بملايين الدولارات بعد أن اكتشف المتسلل ثغرة أمنية في الجسر الذي يربط شبكة layer2 بشبكة ETH الرئيسية. أثرت الثغرة الأمنية على كيفية إرسال المعاملات ومعالجتها على الشبكة وكانت ستسمح للاعبين الخبثاء بسرقة جميع الأموال المرسلة إلى شبكة الطبقة الثانية.
الضعف
وفقا إلى متسلل القبعة البيضاء ، يمكن أن يتم اختطاف المعاملات الواردة إلى Arbitrum عبر الجسر من قبل لاعبين ضارين يمكنهم تعيين عنوانهم كعنوان المستلم.
تابع Riptide أن مثل هذا الاستغلال كان من الممكن ألا يتم اكتشافه لفترة طويلة إذا كان المتسلل يستهدف فقط إيداعات ETH الكبيرة ، أو كان بإمكانهم فقط تشغيل إيداع ETH الرئيسي التالي.
نظرًا لأن أكبر إيداع في عقد البريد الوارد في آخر 24 ساعة كان 168,000 ETH (250 مليون دولار) ، فقد يؤدي استغلال الثغرة الأمنية إلى خسارة مئات الملايين.
مكافأة المكافأة
بينما أشاد Riptide في البداية Arbitrum لمكافأة 400 ETH ، قام الهاكر ذو القبعة البيضاء بالتغريد لاحقًا بأن عمله يستحق أقصى مكافأة قدرها 2 مليون دولار.
ضد التيار محمد:
"وجهة نظري هي أنك إذا نشرت مكافأة قدرها 2 مم - كن مستعدًا لدفعها عندما يكون ذلك مبررًا. بخلاف ذلك ، قل فقط أن الحد الأقصى للمكافأة هو 400 ETH وانتهى من ذلك. يراقب المتسللون المشاريع التي تدفع وتلك التي لا تدفع. المنظمة البحرية الدولية ليست فكرة جيدة لتحفيز القبعة البيضاء للذهاب إلى القبعة السوداء ".
صدرت تعليقات Riptide الجديدة بعد أن أظهر مستخدم Twitter أن الجسر قد تم استخدامه مؤخرًا لتحويل أكثر من 400 مليون دولار.
القيام بذلك مرة أخرى منذ أن تعرضت تغريدة الاقتباس الأخرى للرقابة بواسطة مكبر الصوت. يعد خطأ جسر Arbitrum هو خطأ جسر حرج رقم 3 ناتج عن عوامل تهيئة سيئة ، في حال احتجنا إلى سبب آخر للتخلص من المُهيّئات. دفع Arbitrum مندهش فقط 400 ETH وليس الحد الأقصى للودائع الممنوحة مثل: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
- smartcontracts.eth (✨🔴_🔴✨) (kelvinfichter) 20 سبتمبر 2022
وفي الوقت نفسه ، تعد عمليات استغلال الجسر واحدة من أكبر المخاوف الأمنية في صناعة التشفير في الوقت الحالي. الهجمات على الجسور أدت إلى خسارة بما يقرب من 1 مليار دولار في العام الماضي وحده.
المصدر: https://cryptoslate.com/white-hat-hacker-grumbles-over-arbitrum-bounty-reward-after-saving-network-from-475m-loss/