Ethische hacker niet blij met beloning van ’slechts’ 400 Ethereum

Een zelfbenoemde ethische-hacker ontdekte een kwetsbaarheid in de digitale brug die Ethereum en Arbitrum Nitro met elkaar verbind. Als beloning voor die ontdekking krijgt de goedwillende hacker 400 Ethereum, maar volgens hij is van mening dat de beloning 1.500 Ethereum had moeten zijn.

Grote problemen voorkomen

De hacker die op Twitter opereert onder het pseudoniem Riptide, beschrijft de kwetsbaarheid als een functie die het mogelijk maakt om het brug-adres te veranderen. Hiermee kunnen kwaadwillenden in theorie alle fondsen die richting de brug gestuurd worden naar zichzelf laten sturen. Riptide legt de kwetsbaarheid op 20 september bloot in een blogpost op Medium.

“We kunnen op deze manier zelfs selectief grote Ethereum-stortingen uitkiezen, om voor langere tijd onder de radar te blijven, iedere storting naar ons toe trekken of wachten op een enorme Ethereum-storting”, aldus Riptide. In potentie had dit het protocol meerdere miljoenen kunnen kosten, maar de beloning voor Riptide werd op ‘slechts’ 400 Ethereum vastgesteld.

Hoe erg had de schade kunnen zijn?

De grootste storting ooit op de brug tussen Ethereum en Arbitrum Nitro bedraagt 168.000 Ethereum, wat goed is voor een waarde van 225 miljoen dollar. Meer regelmatige stortingen gaan vaak om bedragen van tussen de 1.000 en 5.000 Ethereum, wat alsnog een stuk hoger ligt dan de beloning die Riptide krijgt voor het vinden van de kwetsbaarheid.

Ondanks het feit dat hij op de slechte manier vele meer had kunnen verdienen, is Riptide dankbaar voor de beloning van 400 Ethereum. Momenteel heeft die beloning een waarde van ruim 500.000 dollar. Later kwam Riptide daar een beetje op terug door te stellen dat hij recht had moeten hebben op de grootste beloning, die momenteel op 1.500 Ethereum ligt. 

Zowel Arbitrum als het bedrijf achter het protocol, OffChain Labs, hebben nog niet op de kwestie gereageerd. Arbitrum is overigens een tweede laag op Ethereum dat de schaalbaarheid van het netwerk moet vergroten. Zij pakken individuele transacties samen om deze vervolgens in pakketten op de Ethereum blockchain te publiceren.