ホワイトハットハッカーがアービトラムを保存するために400イーサリアムを受賞

ジャカルタ - イーサリアムネットワーク用のレイヤー2ソリューションであるArbitrumは、TwitterでRiptideとして知られるホワイトハットハッカーに関与していたと伝えられています。ハッカーは、アービトラムコードにバグを見つけることができました。調査結果により、ArbitrumはRiptideに約560,000米ドル(84億ルピアに相当)に相当する400イーサリアム(ETH)を報酬しました。

9月19日、Arbitrumはコードに潜在的な脆弱性を発見したハッカーに400 ETHを支払った。Riptideは、Solidity Arbitrumで書かれたスマートコントラクトの脆弱性を見つけることができました。ハッカーは、数百万ドルの脆弱性により、ユーザーがイーサリアムからArbitrum Nitroに資金を交換または交換できる可能性があると述べました。

ハッカーは、リリースされる数週間前にArbitrum Nitroのコードを徹底的にスキャンし、「アップデートが成功したかどうか」を確認できるように契約をチェックしました。

アップグレード後、Riptideはリンカまたはブリッジが正しく動作しないいくつかのエラーに気付きました。さらに調べたところ、Riptideはシーケンサーの受信トレイシーケンサーが遅れていることに気付きました。

「クライアントは、Arbitrumネットワークの遅延受信トレイでL1トランザクションに署名して発行することで、シーケンサーにメッセージを送信できます。この機能は、ブリッジを介してETHやトークンを入金するために最も頻繁に使用されます」とRiptide氏はツイートで述べています。

再スキャンを実行した後、Riptideはバグの発見がネットワークを深刻な脆弱性にさらす可能性があることを明らかにしました。これが悪意のあるハッカーによって検出された場合、彼はL1からL2への着信ETH預金を検出されずにウォレットに流用することによって何百万ドルも稼ぐことができます。

「Arbitrum Nitroで発見した重大な脆弱性について書いた私の報奨金バグは、攻撃者がL1->L2ブリッジに入るすべてのETH預金を盗むことを可能にします」とRiptideは2022年9月20日にTwitterに投稿しました。

それでも、Riptideは一般的にホワイトハットとして知られている良いクラスのハッカーです。彼はこの脆弱性をアービトラムに報告し、代わりに報奨金を申請した。しかし、Arbitrumは驚くべきことに、Arbitrumが最高の賞品として提供した200万ドルの賞金ではなく、400 ETHの報酬を与えました。報酬を受け取った後、Riptideはバグの重要性とそれに伴うリスクと一致していないと主張しました。

「私が言いたいのは、200万ドルの報奨金を投じるなら、それが正当化されるなら、それを支払う準備をしなさいということです。そうでない場合は、最大バウンティが400 ETHであると言って、それを解決してください。ハッカーは、どのプロジェクトが支払っていて、どのプロジェクトが支払っていないかを見ています。ホワイトハットにブラックハットになるようインセンティブを与えるのは良い考えだとは思わない」とリプティドはツイッターに投稿した。

良い動機を持つホワイトハットハッカーとは異なり、ブラックハットハッカーは邪悪な動機でコンピュータシステムをだますハッカーです。Riptideの声明によると、同社が200万ドルの賞金を授与すると発表したため、彼の支払いは価値がなかった。