Arbitrum, 470 milyon dolarlık olası bir hack’i önlemek için kesenin ağzını açtı. Arbitrum, protokolündeki güvenlik açığını bildiren beyaz şapkalı hacker’a tam 400 ETH ile (540 bin dolar) ödüllendirdi.
Ethereum’un popüler Katman 2 çözümlerinden Arbitrum, 19 Eylül’de kod yapısındaki kritik bir güvenlik açığını tespit eden beyaz şapkalı hacker’ı yarım milyon dolar değerinde ETH ile ödüllendirdi.
Twitter’da Riptide olarak bilinen beyaz şapkalı hacker, Solidity’de yazılan akıllı sözleşmelerde güvenlik açıkları buluyor. Riptide, “milyon dolarlık güvenlik açığının” Ethereum’dan Arbitrum Nitro’ya para transferi yapmak isteyen herkesi potansiyel olarak etkileyebileceğini söyledi. Riptide konuyla ilgili olarak şunları kaydetti:
Aynı Gelen Kutusu (inbox) sözleşmesiyle 470 milyon dolarlık işlem köprülemek çok da önemli değil.
Bu güvenlik açığı kesinlikle maksimum ödül için uygun olmalı
Bilgisayar korsanı, piyasaya sürülmeden birkaç hafta önce Arbitrum Nitro kodunu baştan sona taradı ve “güncellemenin başarılı olup olmadığını görmek” için sözleşmeleri kontrol etti.
Yükseltmeden sonra Riptide, köprünün düzgün çalışmasını engelleyen bazı hatalar fark etti. Daha fazla incelemenin ardından Riptide, gelen kutusu sıralayıcının bir gecikme yaşadığını fark etti.
Bir müşteri, Arbitrum zincirinin Gecikmeli Gelen Kutusunda bir Katman 1 (L1) işlemini imzalayıp yayınlayarak Sıralayıcıya bir mesaj gönderebilir. Bu işlevsellik en yaygın olarak bir köprü aracılığıyla ETH veya token yatırmak için kullanılır.
Sözleşmeyi yeniden taradıktan sonra, Riptide, gelen kutusu sıralayıcı hatasının, Riptide veya başka bir kötü niyetli bilgisayar korsanının, tespit edilmeden önce L1’den L2 köprüsüne gelen ETH mevduatlarını cüzdanlarına yönlendirerek milyonlarca dolar elde edebileceği sözleşmede kritik bir güvenlik açığı tespit ettiğini doğruladı.
Riptide, Arbitrum Nitro’da keşfettiği ve kötü niyetli kişilerin Katman 1’den Katman 2 köprüsüne gelen tüm ETH’leri çalmasına olanak sağlayan olası güvenlik açığını bildirerek ödül için başvuru yaptı. Ancak beklentilerinin tam tersi şekilde Riptide, 2 milyon dolarlık ödül yerine sadece 400 ETH ile ödüllendirildi. Ödülü kabul eden beyaz şapkalı hacker, ödülün hatanın önemi ve içerdiği risk ile uyumlu olmadığını savundu.
Eğer 2 milyon dolarlık ödül açıklıyorsanız, biri bunu bildirdiğinde 2 milyon doları ödemeye hazır olun. Ödemeyecekseniz de maksimum ödülün 400 ETH olduğunu söyleyin, bu iş burada bitsin.
Hackerlar hangi projelerin para ödediğini ve hangilerinin ödemediğini takipe diyor.
Bence bu siyah şapkalı hacker olmak yerine beyaz şapkalı hacker olmak için iyi bir teşvik değil.
Henüz bu yılın Mart ayında Arbitrum hacker’ların hedefi oldu ve bir grup bilgisayar korsanı TreasureDAO’dan en az 1.4 milyon dolar değerinde 100’den fazla NFT çaldı.
Kripto para sektöründe bağımsız denetim büyük bir önem arz ediyor. Son bir yılda birçok platform, kodlarında veya akıllı sözleşmelerinde potansiyel güvenlik açıklarını bildiren beyaz şapkalı bilgisayar korsanlarına ödül ödemeyi seçti.
Örneğin, Şubat ayının ortalarında Coinbase, “Gelişmiş Ticaret” özelliğindeki bir kusur nedeniyle, kendilerini milyar dolarlık bir kayıptan kurtardığı için “Tree of Alfa” adlı bir bilgisayar korsanına 250 bin dolar (tarihindeki en büyük ödülü) ödedi.
O zaman, Tree of Alpha, emeklilikte kendisine iyi hizmet edebileceğini belirten ödeme için mutluydu; ancak tıpkı Riptide gibi, “daha fazla gri şapkanın güvenlik açıklarından yararlanmasını engellemek için daha yüksek bir ödülün akıllıca olabileceğini” belirtti.
Ayrıca, merkezsiz VPN protokolü Orchid ile çalışan ve iOS jailbreak topluluğunun efsane isimlerinden Jay “Saurik” Freeman, Ethereum için bir “katman 2 ölçekleme çözümü” olan Optimism’deki bir güvenlik açığını bildirdiği için 2 milyon doların üzerinde para aldı.