Vào ngày 19 tháng 9, Arbitrum, một bộ giải pháp mở rộng Layer 2 nhằm giải quyết các vấn đề tắc nghẽn trên Ethereu, đã trả 400 ETH (khoảng 560.000 USD) cho một hacker mũ trắng, người đã tìm thấy lỗ hổng tiềm ẩn trong code của nó.
Hacker mũ trắng, được biết đến trên Twitter với cái tên Riptide, tìm thấy các lỗ hổng trong các hợp đồng thông minh được viết bằng Solidity. Riptide cho biết “lỗ hổng trị giá nhiều triệu đô la” có thể ảnh hưởng đến bất kỳ ai muốn đổi tiền từ Ethereum sang Arbitrum Nitro.
Riptide đã rà quét kỹ code của Arbitrum Nitro vài tuần trước khi nó được phát hành, kiểm tra các hợp đồng để “xem liệu bản cập nhật có thành công hay không”.
Sau khi nâng cấp, chàng hacker mũ trắng nhận thấy một số lỗi khiến cây cầu không thể hoạt động một cách chính xác. Khi kiểm tra kỹ hơn, Riptide nhận thấy rằng trình sắp xếp hộp thư đến đang gặp phải độ trễ.
“Khách hàng có thể gửi tin nhắn tới Trình sắp xếp bằng cách ký và xuất bản giao dịch L1 trong Hộp thư đến bị hoãn của chuỗi Arbitrum. Chức năng này được sử dụng phổ biến nhất để gửi ETH hoặc mã thông báo qua cầu nối.”
Sau khi quét lại hợp đồng, Riptide xác nhận rằng lỗi trình tự hộp thư đến đã cho phép một lỗ hổng nghiêm trọng trong hợp đồng mà Riptide hoặc một hacker độc hại khác có thể thu được hàng triệu đô la bằng cách chuyển các khoản tiền gửi ETH đến từ L1 đến cầu L2 vào ví của họ trước khi bị phát hiện.
Tuy nhiên, Riptide đã quyết định báo cáo lỗ hổng và thay vào đó đã báo cáo để đăng ký nhận thưởng. Điều đáng ngạc nhiên, là anh chỉ nhận được 400 ETH thay vì phần thưởng 2 triệu USD mà Arbitrum đưa ra cho cấp tối đa. Khi nhận được phần thưởng, hacker đã lập luận rằng nó không phù hợp với tầm quan trọng của lỗi và rủi ro mà nó kéo theo.
“Quan điểm của tôi là nếu bạn đăng tiền thưởng $ 2mm – hãy chuẩn bị trả nó khi nó hợp lý. Nếu không, chỉ cần nói tiền thưởng tối đa là 400 ETH và thế là xong.”
Điều đáng nói là vào tháng 3 năm 2022, Arbitrum đã trở thành nạn nhân của một vụ tấn công, trong đó một hoặc một nhóm tin tặc đã đánh cắp hơn 100 NFT từ TreasureDAO, có định giá ít nhất là 1,4 triệu USD.
Kiểm toán độc lập có tầm quan trọng rất lớn trong hệ sinh thái tiền điện tử. Trong suốt năm qua, một số nền tảng đã chọn trả tiền thưởng cho các tin tặc mũ trắng, những người báo cáo các lỗ hổng tiềm ẩn trong code hoặc hợp đồng thông minh của họ.
Ví dụ: Vào giữa tháng 2, Coinbase đã trả “khoản tiền thưởng lớn nhất trong lịch sử” (250.000 USD) cho một hacker có tên “Tree of Alpha” vì đã cứu họ khỏi khoản thất thoát hàng tỷ đô la do lỗi trong tính năng “Giao dịch nâng cao”.
Vào thời điểm đó, Tree of Alpha rất biết ơn về khoản thanh toán và nói rằng nó giúp mình rất nhiều khi nghỉ hưu. Tuy nhiên, giống như Riptide, ông cũng lưu ý rằng “tiền thưởng cao hơn có thể là một cách thông minh để ngăn chặn nhiều mũ xám khai thác lỗ hổng bảo mật”.
Ngoài ra, Jay “Saurik” Freeman — người làm việc với giao thức VPN phi tập trung Orchid và là một huyền thoại trong cộng đồng bẻ khóa iOS — đã nhận được hơn 2 triệu USD vì đã báo cáo lỗ hổng trong Optimism, một “giải pháp mở rộng lớp 2” cho Ethereum.
Tham gia cộng đồng của chúng tôi để cùng bàn luận và cập nhật những thông tin Crypto mới nhất:
- Cryptory Insights: https://t.me/CryptoryInsights
- Cryptory Global Community: https://t.me/CryptoryCommunity
- Vietnamese Telegram channel: https://t.me/cryptory_vncomm
- Facebook: https://www.facebook.com/CryptoryNetwork
- Twitter: https://twitter.com/CryptoryNetwork