O Hacker do bem salvou rede Arbitrum de um roubo de cerca de US$ 475 milhões, mas valor pago a eles não foi satisfatório

Riptide, um hacker do bem que descobriu uma vulnerabilidade no Arbitrum, twittou que sua descoberta era elegível para a recompensa máxima de US$ 2 milhões em vez da recompensa de 400 ETH (US$ 53.000) que ele recebeu.

No big deal just bridging a cool $470mm through the same Inbox contract 👀

Definitely should be eligible for a max bounty

🤯 https://t.co/w7S58QNQZu

— riptide (@0xriptide) September 20, 2022

A ferramenta de dimensionamento Ethereum Arbitrum escapou de um hack multimilionário depois que o Riptide detectou uma vulnerabilidade na ponte que conecta a rede Layer2 à rede principal da ETH. A vulnerabilidade afetou como as transações são enviadas e processadas na rede e permitiria que players mal-intencionados roubassem todos os fundos enviados para a rede layer2.

A vulnerabilidade

Segundo o hacker do bem, as transações recebidas na Arbitrum através da ponte podem ser sequestradas por players maliciosos, que podem definir seu endereço como o endereço do destinatário.

Riptide continuou, que tal exploração poderia ter passado despercebida por um longo tempo se o hacker visasse apenas grandes depósitos em Ethereum, ou eles poderiam apenas ter executado o próximo grande depósito em ETH.

• Veja também: Algorand contrata ex-chefe de comunicações da Visa

Dado que o maior depósito no contrato da caixa de entrada nas últimas 24 horas foi de 168.000 ETH (US$ 250 milhões), explorar a vulnerabilidade poderia ter levado a uma perda de centenas de milhões.

A recompensa

Enquanto Riptide inicialmente elogiou Arbitrum pela recompensa de 400 ETH, o hacker do bem, mais tarde, twittou que seu trabalho merecia a recompensa máxima de US$ 2 milhões.

Meu ponto é que, se você postar uma recompensa de US$ 2 milhões, esteja preparado para pagá-la quando for justificado. Caso contrário, basta dizer que a recompensa máxima é de 400 ETH e pronto. Hackers observam quais projetos pagam e quais não. IMO não é uma boa ideia incentivar um hacker do bem a se tornar um hacker do mal.

Os novos comentários de Riptide foram feitos depois que um usuário do Twitter mostrou que a ponte foi usada recentemente para transferir mais de US$ 400 milhões.

Doing this again since my other quote tweet got censored by tweeter. Arbitrum bridge bug is critical bridge bug #3 caused by bad initializers, in case we needed another reason to get rid of initializers. Surprised Arbitrum only paid 400 ETH and not max bounty given deposits like: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k

— smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) September 20, 2022

Enquanto isso, as explorações de ponte são uma das maiores preocupações de segurança na indústria de criptomoedas atualmente. Ataques a pontes levaram à perda de quase US$ 1 bilhão apenas no ano passado.