Хакер в белой шляпе спас Arbitrum от крупной потери

19 сентября одно из самых популярных Ethereum -решений второго уровня, Arbitrum, вознаградило хакера в белой шляпе 400 ETH (около $560 000) за обнаружение потенциальной уязвимости в его коде.

Программист, известный в Твиттере как Riptide, обнаружил уязвимости в интеллектуальных контрактах, написанных на Solidity. По словам Riptide, "многомиллионная уязвимость" могла затронуть всех желающих перевести деньги с Ethereum на Arbitrum Nitro.

За несколько недель до релиза хакер тщательно изучил код Arbitrum Nitro, просматривая контракты, чтобы "убедиться, что обновление прошло успешно". В результате Riptide обнаружил ряд проблем, препятствующие правильной работе моста после обновления. После дальнейшего изучения программист выявил, что секвенсор входящих сообщений работает медленно.

Проведя повторное сканирования контракта Riptide смог подтвердить, что ошибка секвенсора входящих сообщений создала серьезную уязвимость, которая могла позволить ему или любому злоумышленнику незаметно украсть миллионы долларов, перенаправляя входящие депозиты ETH с моста L1 на мост L2 в свои кошельки. По словам Riptide, самый крупный депозит, зарегистрированный во входящем контракте, составлял 168 000 ETH (около $250 млн).

Программист сообщил об уязвимости разработчикам Arbitrum и получил награду в размере 400 ETH. Однако, он остался недоволен вознаграждением, так как максимальная выплата за нахождение ошибки составляла $2 млн. Хакер прокомментировал выплату, заявив, что платеж непропорционален значимости дефекта и связанному с ним риску. Это плохая идея подталкивать «белых хакеров» к переходу в ряды «черных хакеров», добавил Riptide.