fbpx

Хакер предотвратил взлом Arbitrum на сотни миллионов долларов, но получил всего 400 ETH

21.09.2022
4 мин
445
3
Пользователь обнаружил баг в структуре моста между Ethereum и Arbitrum Nitro
  • Пользователь обнаружил баг в структуре моста между Ethereum и Arbitrum Nitro
  • Он сообщил об этом администрации, но получил всего 400 ETH награды
  • При этом ранее Arbitrum сообщала о выплате $2 млн за обнаруженную критическую уязвимость

«Белый» хакер обнаружил критическую уязвимость в структуре моста между Ethereum и Arbitrum Nitro, после чего уведомил платформу. За это пользователь получил награду в размере 400 ETH, чуть более $530 тысяч.

Об уязвимости сообщил эксперт с ником «riptide». Он занимается проверкой контрактов на Solidity. За несколько недель до выхода обновления Nitro он тщательно проверил код.

И это дало свои плоды. Хакер заметил задержку в работе секвенсора входящих сообщений. Используя эксплойт, хакер мог бы переправлять депозиты с L1 на L2 в свои кошельки.

Потенциальный ущерб от этой уязвимости составляет сотни миллионов долларов. Одни эксперты заявляют о $250 млн, другие — о $470 млн. Так или иначе, хакер заслужил награду, предотвратив не только финансовые, но и репутационные потери.

Arbitrum — одно из наиболее популярных решений второго уровня экосистемы Ethereum. Взлом надолго отбросил бы платформу назад. И такая относительно небольшая награда хакеру вызвала возмущение комьюнити.

При этом ранее Arbitrum предлагал до $2 млн за обнаружение критической уязвимости. В ответ на это riptide заявил следующее:

«Если вы публикуете награду в $2 млн, то будьте готовы заплатить ее. Иначе поставьте максимальную сумму в 400 ETH. Хакеры тщательно следят за тем, какие проекты окупаются, а какие нет. ИМХО не лучшая идея стимулировать белого хакера стать черным».

И это далеко не первый случай, когда экспертов независимого аудита оставляют «с носом». В феврале этого года Coinbase заплатила хакеру всего $250 тысяч за обнаруженный баг

Уязвимость могла обернуться миллиардными потерями. Эксперт поблагодарил биржу, но отметил, что стоит увеличить награду, чтобы мотивировать «серых» хакеров сообщать об эксплойтах, а не пользоваться ими.

Как вам статья?

3
0

статьи на эту же тему

ЕС на днях может запретить все...
avatar Надежда Клименко
29.09.2022
Гендиректор Citadel: ФРС должна признать...
avatar Влад Шевченко
29.09.2022
Стейблкоин USDC станет доступен в 5...
avatar Андрей Макаров
29.09.2022