Arbitrum Rewards Hacker avec 400 ETH pour avoir détecté une vulnérabilité critique de 400 millions de dollars
Le 19 septembre, Arbitrum, l’une des solutions de couche 2 les plus populaires pour Ethereum, a payé 400 ETH (environ 560 000 $) à un hacker chapeau blanc qui a trouvé une vulnérabilité potentielle dans son code.
Le hacker au chapeau blanc, connu sur Twitter sous le nom de Riptide, trouve des vulnérabilités dans les contrats intelligents écrits dans Solidity. Riptide a déclaré que la « vulnérabilité de plusieurs millions de dollars » pourrait potentiellement affecter toute personne souhaitant échanger des fonds d’Ethereum vers Arbitrum Nitro.
Ce n’est pas grave, il suffit de combler 470 millions de dollars via le même contrat Inbox 👀
Devrait certainement être éligible pour une prime maximale
🤯 https://t.co/w7S58QNQZu
– contre-courant (@0xriptide) 20 septembre 2022
Arbitrum a évité des millions de dollars de pertes
Le pirate a soigneusement scanné le code Arbitrum Nitro quelques semaines avant sa sortie, vérifiant les contrats afin qu’ils puissent « voir si la mise à jour avait été un succès ».
Après la mise à niveau, Riptide a remarqué des erreurs qui empêchaient le pont de fonctionner correctement. Après une inspection plus approfondie, Riptide a remarqué que le séquenceur de la boîte de réception connaissait un retard.
« Un client peut envoyer un message au séquenceur en signant et en publiant une transaction L1 dans la boîte de réception différée de la chaîne Arbitrum. Cette fonctionnalité est le plus souvent utilisée pour déposer des ETH ou des jetons via un pont.
Après avoir réanalysé le contrat, Riptide a confirmé que le bogue du séquenceur de la boîte de réception permettait une vulnérabilité critique dans le contrat par laquelle Riptide ou un autre pirate informatique malveillant aurait pu obtenir des millions de dollars en détournant les dépôts ETH entrants du pont L1 vers le pont L2 dans leurs portefeuilles avant d’être détecté. .
Mon article sur la prime de bogue sur une vulnérabilité critique que j’ai découverte sur Arbitrum Nitro qui a permis à un attaquant de voler tous les dépôts ETH entrants sur le pont L1-> L2
https://t.co/WuR4RYUL3L@icodeblockchain @samiamka2 @Mudit__Gupta @0xRecruteur @BowTiedCrocodil @BowTiedDevil– contre-courant (@0xriptide) 20 septembre 2022
Cependant, Riptide a décidé de signaler la vulnérabilité et de demander une récompense à la place, qui, à leur grande surprise, n’était que de 400 ETH au lieu de la récompense de 2 millions de dollars qu’Arbitrum offrait comme niveau maximum. Après avoir reçu la récompense, le pirate a fait valoir qu’elle n’était pas conforme à l’importance du bogue et au risque qu’il impliquait.
Ce que je veux dire, c’est que si vous postez une prime de 2 millions de dollars, soyez prêt à la payer quand c’est justifié. Sinon, dites simplement que la prime maximale est de 400 ETH et finissez-en.
Les pirates surveillent quels projets paient et lesquels ne paient pas
IMO n’est pas une bonne idée d’inciter un whitehat à devenir blackhat
– contre-courant (@0xriptide) 20 septembre 2022
Il convient de mentionner qu’en mars 2022, Arbitrum a été victime d’un exploit dans lequel un pirate ou un groupe de pirates a volé plus de 100 NFT à TreasureDAO, avec une valorisation d’au moins 1,4 million de dollars.
White Hat Hackers : une entreprise lucrative dans le monde de la cryptographie
L’audit indépendant est d’une importance capitale dans l’écosystème de la cryptographie. Au cours de l’année, plusieurs plateformes ont choisi de verser des primes aux pirates informatiques qui signalent des vulnérabilités potentielles dans leur code ou leurs contrats intelligents.
Par exemple, à la mi-février, Coinbase payé « la plus grande prime de son histoire » (250 000 $) à un pirate nommé « Tree of Alpha » pour les avoir sauvés d’une perte d’un milliard de dollars due à une faille dans la fonction « Advanced Trading ».
À l’époque, Tree of Alpha était reconnaissant du paiement en déclarant qu’il pourrait bien lui servir à la retraite; cependant, comme Riptide, il a noté qu ‘ »une prime plus élevée aurait pu être intelligente pour dissuader davantage de chapeaux gris d’exploiter les vulnérabilités ».
De plus, Jay « Saurik » Freeman – qui travaille avec le protocole VPN décentralisé Orchid et est une légende dans la communauté de jailbreak iOS –reçu plus de 2 millions de dollars pour avoir signalé une vulnérabilité dans Optimism, une « solution de mise à l’échelle de couche 2 » pour Ethereum.