Hacker salva Arbitrum de perder R$ 2,4 bilhões e reclama de baixa recompensa – ESTOA

Hacker salva Arbitrum de perder R$ 2,4 bilhões e reclama de baixa recompensa


Advertisement


Advertisement


Um hacker white hat conhecido como Riptide conseguiu achar uma vulnerabilidade na rede de dimensionamento de camada 2 Arbitrum. A identificação poupou a rede de perder cerca de R$ 2,4 bilhões em um eventual ataque ao bug.

Como recompensa por reportar a falha, o hacker recebeu 400 ETH, ou seja, cerca de R$ 2,77 milhões considerando a cotação atual.


Advertisement


Contudo, para o hacker, o valor dado não era condizente com o que seria justo. Afinal, a rede Arbitrum tem uma recompensa máxima de US$ 2 milhões (mais de R$ 10 milhões) para quem identifica uma falha de grande relevância.

Hacker detecta vulnerabilidade crítica na Arbitrum

O hacker conseguiu detectar uma vulnerabilidade na bridge (“ponte”) que conecta a rede Layer 2 à rede principal da ETH. Na prática, essa falha tinha o potencial para afetar a forma como as transações são enviadas e processadas na rede.

Advertisement


Além disso, poderia permitir que agentes mal-intencionados roubassem todos os fundos enviados para a rede de layer 2.

De acordo com o hacker, o bug poderia afetar qualquer depositante que tentasse transferir fundos da rede Ethereum para a Arbitrum Nitro, a versão mais recente do Arbitrum.

Advertisement


Assim, hackers poderiam “sequestrar” as transações recebidas na Arbitrum por meio da ponte. Em seguida, eles poderiam definir seu endereço como o do destinatário da transação e roubar os fundos.

Ainda segundo Riptide, uma eventual exploração poderia ter passado despercebida por um longo tempo se o hacker visasse apenas grandes depósitos de Ether (ETH).

Advertisement


Recompensa baixa

Dado que o maior depósito no contrato nas últimas 24 horas foi de 168.000 ETH (US$ 250 milhões), explorar a vulnerabilidade poderia ter levado a uma perda de milhões, segundo explicou o hacker em seu blog.

Ao fim do post no blog, Riptide agradeceu a Arbitrum pela recompensa de 400 ETH. No entanto, mais tarde, ele soube que a ponte foi usada para enviar mais de US$ 475 milhões (R$ 2,4 bilhões).

“Fazendo isso de novo, já que o meu outro tuíte com citação foi censurado pelo Twitter. O bug da ponte Arbitrum é um bug crítico n.º 3 causado por inicializadores ruins. Como se nós precisássemos de outro motivo para nos livrarmos dos inicializadores. A Surprised Arbitrum pagou apenas 400 ETH e não a recompensa máxima”, tuitou @kelvinfichter.


Então, Riptide retuitou o post e passou a considerar a recompensa baixa. Segundo ele, se uma rede oferece uma recompensa de US$ 2 milhões, tem que estar pronta para pagar isso quando for o caso:

“Caso contrário, basta dizer que o máximo é de 400 ETH e pronto. Os hackers observam quais projetos pagam e quais não. Na minha opinião, não é uma boa ideia incentivar um white hat a se tornar black hat”, tuitou o hacker white hat.