JAKARTA - Arbitrum, solusi Layer 2 untuk jaringan Ethereum, dilaporkan terlibat dengan peretas white hat yang dikenal dengan nama Riptide di Twitter. Hacker tersebut berhasil menemukan bug dalam kode Arbitrum. Karena temuan itu, Arbitrum menghadiahi Riptide dengan 400 Ethereum (ETH) yang bernilai sekitar 560.000 dolar AS (setara Rp8,4 miliar).
Pada tanggal 19 September, Arbitrum, membayar 400 ETH kepada peretas yang menemukan potensi kerentanan dalam kodenya. Riptide berhasil menemukan kerentanan dalam smart contract yang tertulis dalam Solidity Arbitrum. Peretas menyatakan kerentanan jutaan dolar tersebut berpotensi pengguna yang ingin menukar atau swap dana dari Ethereum ke Arbitrum Nitro.
Peretas memindai kode Arbitrum Nitro secara menyeluruh beberapa minggu sebelum dirilis, memeriksa kontrak sehingga mereka dapat “melihat apakah pembaruan telah berhasil.”
Setelah peningkatan, Riptide melihat beberapa kesalahan yang mencegah penghubung atau bridge bekerja dengan benar. Setelah pemeriksaan lebih lanjut, Riptide melihat bahwa pengurutan inbox sequencer mengalami penundaan.
“Seorang klien dapat mengirim pesan ke Sequencer dengan menandatangani dan menerbitkan transaksi L1 di Delayed Inbox jaringan Arbitrum. Fungsionalitas ini paling sering digunakan untuk menyetor ETH atau token melalui jembatan,” kata Riptide dalam cuitan Twitter.
BACA JUGA:
Setelah melakukan pemindaian ulang, Riptide mengungkapkan bahwa temuan bug tersebut berpotensi memberikan kerentanan jaringan dengan parah. Jika hal ini dideteksi oleh peretas jahat maka dia dapat memperoleh jutaan dolar dengan mengalihkan setoran ETH yang masuk dari bridge L1 ke L2 ke dompet mereka tanpa terdeteksi.
“Penulisan bug bounty saya tentang kerentanan kritis yang saya temukan di Arbitrum Nitro yang memungkinkan penyerang mencuri semua setoran ETH yang masuk ke jembatan L1-> L2,” tulis Riptide dalam postingan Twitter, 20 September 2022.
Kendati begitu, Riptide merupakan peretas golongan baik atau biasa dikenal sebagai white hat. Dia melaporkan kerentanan kepada pihak Arbitrum dan mengajukan hadiah sebagai gantinya. Namun, secara mengejutkan pihak Arbitrum memberikan imbalan sebesar 400 ETH, bukan hadiah 2 juta dolar AS yang ditawarkan Arbitrum sebagai hadiah tertingginya. Setelah menerima imbalan, Riptide berpendapat bahwa itu tidak sejalan dengan pentingnya bug dan risiko yang ditimbulkannya.
“Maksud saya adalah jika Anda memposting hadiah $ 2 juta - bersiaplah untuk membayarnya jika itu dibenarkan. Jika tidak, katakan saja bounty maksimal adalah 400 ETH dan selesaikan. Peretas melihat proyek mana yang membayar dan mana yang tidak. Menurut saya, bukan ide yang baik untuk memberi insentif kepada whitehat supaya menjadi blackhat,” ujar Riptide, dalam postingan Twitternya.
Berbeda dengan peretas tipe white hat yang punya motif baik, peretas jenis black hat merupakan hacker yang mengakali sistem komputer dengan motif jahat. Menurut pernyataan Riptide, bayaran untuknya kurang layak karena perusahaan mengumumkan akan memberikan hadiah sebesar 2 juta dolar.