Ethische hacker niet blij met beloning van ’slechts’ 400 Ethereum

Grote problemen voorkomen

De hacker die op Twitter opereert onder het pseudoniem Riptide, beschrijft de kwetsbaarheid als een functie die het mogelijk maakt om het brug-adres te veranderen. Hiermee kunnen kwaadwillenden in theorie alle fondsen die richting de brug gestuurd worden naar zichzelf laten sturen. Riptide legt de kwetsbaarheid op 20 september bloot in een blogpost op Medium.

“We kunnen op deze manier zelfs selectief grote Ethereum-stortingen uitkiezen, om voor langere tijd onder de radar te blijven, iedere storting naar ons toe trekken of wachten op een enorme Ethereum-storting”, aldus Riptide. In potentie had dit het protocol meerdere miljoenen kunnen kosten, maar de beloning voor Riptide werd op ‘slechts’ 400 Ethereum vastgesteld.

Hoe erg had de schade kunnen zijn?

De grootste storting ooit op de brug tussen Ethereum en Arbitrum Nitro bedraagt 168.000 Ethereum, wat goed is voor een waarde van 225 miljoen dollar. Meer regelmatige stortingen gaan vaak om bedragen van tussen de 1.000 en 5.000 Ethereum, wat alsnog een stuk hoger ligt dan de beloning die Riptide krijgt voor het vinden van de kwetsbaarheid.

No big deal just bridging a cool $470mm through the same Inbox contract 👀

Definitely should be eligible for a max bounty

🤯 https://t.co/w7S58QNQZu
— riptide (@0xriptide) September 20, 2022

Ondanks het feit dat hij op de slechte manier vele meer had kunnen verdienen, is Riptide dankbaar voor de beloning van 400 Ethereum. Momenteel heeft die beloning een waarde van ruim 500.000 dollar. Later kwam Riptide daar een beetje op terug door te stellen dat hij recht had moeten hebben op de grootste beloning, die momenteel op 1.500 Ethereum ligt.

Zowel Arbitrum als het bedrijf achter het protocol, OffChain Labs, hebben nog niet op de kwestie gereageerd. Arbitrum is overigens een tweede laag op Ethereum dat de schaalbaarheid van het netwerk moet vergroten. Zij pakken individuele transacties samen om deze vervolgens in pakketten op de Ethereum blockchain te publiceren.

Mooie titel hier

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.