Bạn sẽ trả bao nhiêu để ngăn chặn vụ hack 470 triệu đô la? Đối với Arbitrum, câu trả lời là 400 ETH (khoảng 540K$).

Vào ngày 19 tháng 9, Arbitrum, một trong những giải pháp Layer-2 phổ biến nhất cho Ethereum, đã trả 400 ETH (khoảng 560.000 USD) cho một hacker mũ trắng, người đã tìm thấy lỗ hổng tiềm ẩn trong code của nó.

Hacker mũ trắng, được biết đến trên Twitter với cái tên Riptide, tìm thấy các lỗ hổng trong các smart contract được viết bằng Solidity. Riptide cho biết “lỗ hổng nhiều triệu đô la” có thể ảnh hưởng đến bất kỳ ai muốn đổi tiền từ Ethereum sang Arbitrum Nitro.

Arbitrum ngăn chặn thành công việc thua lỗ hàng triệu đô la

Hacker đã quét kỹ mã Arbitrum Nitro vài tuần trước khi nó được phát hành, kiểm tra các contract để họ có thể “Xem liệu bản cập nhật có thành công hay không”.

Sau khi nâng cấp, Riptide nhận thấy một số lỗi khiến cây cầu hoạt động bình thường. Khi kiểm tra kỹ hơn, Riptide nhận thấy rằng inbox sequencer đang gặp phải độ trễ.

“Một khách hàng có thể gửi tin nhắn đến Sequencer bằng cách ký và xuất bản giao dịch L1 trong hộp thư đến bị delay của chuỗi Arbitrum. Chức năng này được sử dụng phổ biến nhất để gửi ETH hoặc token qua cầu nối. ”

Sau khi quét lại hợp đồng, Riptide xác nhận rằng lỗi inbox sequencer đã cho phép một lỗ hổng nghiêm trọng trong hợp đồng mà Riptide hoặc một hacker có ý đồ xấu khác có thể thu được hàng triệu đô la bằng cách chuyển các khoản tiền gửi ETH đến từ L1 đến cầu L2 vào ví của họ trước khi bị phát hiện.

Tuy nhiên, Riptide đã quyết định báo cáo lỗ hổng và thay vào đó đăng ký phần thưởng, điều khiến họ ngạc nhiên, chỉ là 400 ETH thay vì phần thưởng 2 triệu đô la mà Arbitrum đưa ra làm cấp tối đa. Khi nhận được phần thưởng, hacker đã lập luận rằng nó không phù hợp với tầm quan trọng của lỗi và rủi ro mà nó kéo theo.