• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Хакер в белой шляпе спас Arbitrum от крупной потери

Пригоршня

Штурман
Мудрец
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 2ч 13м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

19 сентября одно из самых популярных Ethereum-решений второго уровня, Arbitrum, вознаградило хакера в белой шляпе 400 ETH (около $560 000) за обнаружение потенциальной уязвимости в его коде.

Программист, известный в Твиттере как Riptide, обнаружил уязвимости в интеллектуальных контрактах, написанных на Solidity. По словам Riptide, "многомиллионная уязвимость" могла затронуть всех желающих перевести деньги с Ethereum на Arbitrum Nitro.

За несколько недель до релиза хакер тщательно изучил код Arbitrum Nitro, просматривая контракты, чтобы "убедиться, что обновление прошло успешно". В результате Riptide обнаружил ряд проблем, препятствующие правильной работе моста после обновления. После дальнейшего изучения программист выявил, что секвенсор входящих сообщений работает медленно.

Проведя повторное сканирования контракта Riptide смог подтвердить, что ошибка секвенсора входящих сообщений создала серьезную уязвимость, которая могла позволить ему или любому злоумышленнику незаметно украсть миллионы долларов, перенаправляя входящие депозиты ETH с моста L1 на мост L2 в свои кошельки. По словам Riptide, самый крупный депозит, зарегистрированный во входящем контракте, составлял 168 000 ETH (около $250 млн).

Программист сообщил об уязвимости разработчикам Arbitrum и получил награду в размере 400 ETH. Однако, он остался недоволен вознаграждением, так как максимальная выплата за нахождение ошибки составляла $2 млн. Хакер прокомментировал выплату, заявив, что платеж непропорционален значимости дефекта и связанному с ним риску. Это плохая идея подталкивать «белых хакеров» к переходу в ряды «черных хакеров», добавил Riptide.
 
Сверху