Bạn sẽ được trả bao nhiêu để ngăn chặn vụ hack trị giá 470 triệu đô la? Đối với Arbitrum, câu trả lời là 400 ETH (tương đương khoảng 540.000 đô la).
Vào ngày 19 tháng 9, Arbitrum một trong những giải pháp lớp 2 phổ biến nhất của Ethereum, đã trả 400 ETH (khoảng $ 560,000) cho một hacker mũ trắng vì đã phát hiện ra một lỗ hổng tiềm ẩn.
Một hacker mũ trắng được gọi là Riptide trên Twitter đã phát hiện ra một lỗ hổng trong các hợp đồng thông minh được viết bằng Solidity. Riptide cho biết “lỗ hổng trị giá hàng triệu đô la” có thể ảnh hưởng đến bất kỳ ai muốn hoán đổi tiền từ Ethereum sang Arbitrum Nitro.
Doing this again since my other quote tweet got censored by tweeter. Arbitrum bridge bug is critical bridge bug #3 caused by bad initializers, in case we needed another reason to get rid of initializers. Surprised Arbitrum only paid 400 ETH and not max bounty given deposits like: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
— smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) September 20, 2022
Arbitrum Đã Ngăn Chặn Tổn Thất Lên Đến Hàng Triệu Đô La
Hacker mũ trắng đã quét kỹ lưỡng mã Arbitrum Nitro vài tuần trước khi nó được công bố, kiểm tra các hợp đồng để họ có thể “xem liệu bản cập nhật có thành công hay không.”
Sau khi nâng cấp, Riptide nhận thấy một số lỗi khiến bridge không thể hoạt động bình thường. Khi điều tra thêm, Riptide nhận thấy có sự chậm trễ trong trình sắp xếp hộp thư đến.
Khách hàng có thể gửi tin nhắn đến trình tự sắp xếp bằng cách ký các giao dịch Layer1 và xuất bản chúng vào hộp thư đến bị trì hoãn của chuỗi Arbitrum. Chức năng này thường được sử dụng nhất để ký quỹ ETH hoặc các mã thông báo thông qua các cầu nối sẽ được sử dụng.
Sau khi quét lại hợp đồng, Riptide phát hiện ra rằng có một lỗ hổng nghiêm trọng trong hợp đồng do một lỗi trong trình sắp xếp hộp thư đến, mà Riptide hoặc một tin tặc độc hại khác đã phát hiện có khả năng lấy được hàng triệu đô la trước khi được phát hiện bằng cách dịch các khoản tiền gửi ETH từ cầu Layer1 sang Layer2.
Tìm hiểu thêm về hệ sinh thái Ethereum
Blog giải thích quá trình phát hiện lỗi trên ARBITRUM của RIPTIDE: 0xriptide Medium
Tuy nhiên, Riptide đã quyết định báo cáo lỗ hổng bảo mật và yêu cầu phần thưởng thay thế. Đáng ngạc nhiên, nó chỉ là 400 ETH thay vì phần thưởng 2 triệu đô la mà Arbitrum đưa ra như mức tối đa. Sau khi nhận được phần thưởng, các tin tặc tuyên bố nó không theo dõi lỗ hỏng của lỗi và các rủi ro liên quan nữa.
Quan điểm của tôi đó là bạn đã thông báo phần thưởng là 2 triệu đô la thì hãy chuẩn bị để trả thưởng khi đã xác minh chính xác. Nếu không, phần thưởng tối đa là 400 ETH và thế là xong.
Các hackers giám sát dự án nào đang hoạt động và dự án nào không
Theo tôi điều này không hay khi biến hacker mũ trắng thành mũ đen
My point is that if you post a $2mm bounty- be prepared to pay it when it’s justified. Otherwise just say the max bounty is 400 ETH and be done with it.
Hackers watch which projects pay out and which do not
IMO not a good idea to incentivize a whitehat to go blackhat
— riptide (@0xriptide) September 20, 2022
Điều đáng chú ý là vào tháng 3 năm 2022, một tin tặc hoặc một nhóm tin tặc đã khai thác và đánh cắp 100 NFT trị giá ít nhất 1,4 triệu đô la từ TreasureDAO.
Tin Tặc Mũ Trắng: Một Công Việc Kinh Doanh Đem Nhiều Lợi Nhuận Land Crypto
Kiểm toán độc lập là rất quan trọng trong hệ sinh thái tiền điện tử. Năm qua, một số nền tảng đã chọn trả tiền thưởng cho các tin tặc mũ trắng để báo cáo các lỗ hổng tiềm ẩn trong mã hoặc hợp đồng thông minh của họ.
Ví dụ, vào giữa tháng 2, Coinbase đã trả cho hacker có nghệ danh là “Tree of Alpha” số tiền thưởng lớn nhất từ trước đến nay (250.000 USD) để tránh bị thiệt hại hàng tỷ USD do một lỗi trong tính năng “giao dịch nâng cao” được trả tiền.
Vào thời điểm đó, Tree of Alpha rất biết ơn về khoản tiền mà ông sẽ có thể phục vụ mình sau khi nghỉ hưu. Nhưng giống như Riptide, ông nói, “một khoản tiền thưởng cao hơn sẽ là khôn ngoan để ngăn chặn nhiều hacker mũ xám khai thác lỗ hổng bảo mật.”
Jay “Saurik” Freeman, một huyền thoại trong cộng đồng bẻ khóa iOS, người chạy giao thức VPN phi tập trung Orchid, cũng đã được trả hơn 2 triệu đô la vì đã báo cáo một lỗ hổng trong Optimism, một “giải pháp mở rộng quy mô lớp 2”.
mkaykhoi
