Trydarodd Riptide, haciwr het wen a ddarganfu wendid ar Arbitrum, fod ei ddarganfyddiad yn gymwys ar gyfer y wobr bounty uchaf o $2 filiwn yn lle’r 400 ETH ($53,000) gwobr a gafodd.
Dim byd mawr dim ond pontio $470mm cŵl drwy'r un contract Mewnflwch 👀
Yn bendant, dylai fod yn gymwys i gael uchafswm bounty
— riptide (@0xriptide) Medi 20, 2022
Offeryn graddio Ethereum Dihangodd Arbitrum darnia gwerth miliynau o ddoleri ar ôl i'r haciwr weld bregusrwydd yn y bont sy'n cysylltu'r rhwydwaith haen2 â mainnet ETH. Roedd y bregusrwydd yn effeithio ar sut mae trafodion yn cael eu cyflwyno a'u prosesu ar y rhwydwaith a byddai wedi caniatáu i chwaraewyr maleisus ddwyn yr holl arian a anfonwyd i'r rhwydwaith haen2.
Y bregusrwydd
Yn ôl i'r haciwr het gwyn, gallai trafodion sy'n dod i mewn i Arbitrum drwy'r bont gael eu herwgipio gan chwaraewyr maleisus a allai osod eu cyfeiriad fel cyfeiriad y derbynnydd.
Parhaodd Riptide y gallai camfanteisio o'r fath fod wedi mynd heb ei ganfod am amser hir pe bai'r haciwr yn targedu dyddodion ETH mawr yn unig, neu gallent fod wedi rhedeg y blaendal ETH mawr nesaf yn unig.
O ystyried mai'r blaendal mwyaf ar y contract mewnflwch yn ystod y 24 awr ddiwethaf oedd 168,000 ETH ($ 250 miliwn), gallai ecsbloetio'r bregusrwydd fod wedi arwain at golled o gannoedd o filiynau.
Gwobr Bounty
Tra bod Riptide wedi canmol Arbitrum i ddechrau am y wobr 400 ETH, fe drydarodd yr haciwr het wen yn ddiweddarach fod ei waith yn haeddu’r swm uchaf o $2 filiwn.
Riptide Dywedodd:
“Fy mhwynt i yw, os ydych chi'n postio bounty $2mm - byddwch yn barod i'w dalu pan fydd yn gyfiawn. Fel arall, dywedwch mai'r swm uchaf o arian yw 400 ETH a chael ei wneud ag ef. Mae hacwyr yn gwylio pa brosiectau sy'n talu allan a pha rai nad ydynt yn talu. Nid yw IMO yn syniad da cymell whitehat i fynd blackhat.”
Gwnaethpwyd sylwadau newydd Riptide ar ôl i ddefnyddiwr Twitter ddangos bod y bont wedi’i defnyddio’n ddiweddar i drosglwyddo dros $400 miliwn.
Wedi gwneud hyn eto ers i'm trydariad dyfyniad arall gael ei sensro gan drydarwr. Mae byg pont Arbitrum yn fyg pont #3 hanfodol a achosir gan ddechreuwyr gwael, rhag ofn bod angen rheswm arall arnom i gael gwared ar ddechreuwyr. Dim ond 400 ETH y talodd Surprised Arbitrum ac nid uchafswm o bounty o ystyried blaendaliadau fel: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
— smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) Medi 20, 2022
Yn y cyfamser, campau pontydd yw un o'r pryderon diogelwch mwyaf yn y diwydiant crypto ar hyn o bryd. Mae ymosodiadau ar bontydd wedi arwain at y oddi ar o bron i $1 biliwn yn y flwyddyn ddiwethaf yn unig.
Ffynhonnell: https://cryptoslate.com/white-hat-hacker-grumbles-over-arbitrum-bounty-reward-after-saving-network-from-475m-loss/