Um hacker white hat conhecido como Riptide conseguiu achar uma vulnerabilidade na rede de dimensionamento de camada 2 Arbitrum. A identificação poupou a rede de perder cerca de R$ 2,4 bilhões em um eventual ataque ao bug.
Como recompensa por reportar a falha, o hacker recebeu 400 ETH, ou seja, cerca de R$ 2,77 milhões considerando a cotação atual.
Contudo, para o hacker, o valor dado não era condizente com o que seria justo. Afinal, a rede Arbitrum tem uma recompensa máxima de US$ 2 milhões (mais de R$ 10 milhões) para quem identifica uma falha de grande relevância.
Hacker detecta vulnerabilidade crítica na Arbitrum
O hacker conseguiu detectar uma vulnerabilidade na bridge (“ponte”) que conecta a rede Layer 2 à rede principal da ETH. Na prática, essa falha tinha o potencial para afetar a forma como as transações são enviadas e processadas na rede.
Além disso, poderia permitir que agentes mal-intencionados roubassem todos os fundos enviados para a rede de layer 2.
De acordo com o hacker, o bug poderia afetar qualquer depositante que tentasse transferir fundos da rede Ethereum para a Arbitrum Nitro, a versão mais recente do Arbitrum.
Assim, hackers poderiam “sequestrar” as transações recebidas na Arbitrum por meio da ponte. Em seguida, eles poderiam definir seu endereço como o do destinatário da transação e roubar os fundos.
Ainda segundo Riptide, uma eventual exploração poderia ter passado despercebida por um longo tempo se o hacker visasse apenas grandes depósitos de Ether (ETH).
Recompensa baixa
Dado que o maior depósito no contrato nas últimas 24 horas foi de 168.000 ETH (US$ 250 milhões), explorar a vulnerabilidade poderia ter levado a uma perda de milhões, segundo explicou o hacker em seu blog.
Ao fim do post no blog, Riptide agradeceu a Arbitrum pela recompensa de 400 ETH. No entanto, mais tarde, ele soube que a ponte foi usada para enviar mais de US$ 475 milhões (R$ 2,4 bilhões).
Doing this again since my other quote tweet got censored by tweeter. Arbitrum bridge bug is critical bridge bug #3 caused by bad initializers, in case we needed another reason to get rid of initializers. Surprised Arbitrum only paid 400 ETH and not max bounty given deposits like: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k— smartcontracts.eth (_) (@kelvinfichter) September 20, 2022
“Fazendo isso de novo, já que o meu outro tuíte com citação foi censurado pelo Twitter. O bug da ponte Arbitrum é um bug crítico n.º 3 causado por inicializadores ruins. Como se nós precisássemos de outro motivo para nos livrarmos dos inicializadores. A Surprised Arbitrum pagou apenas 400 ETH e não a recompensa máxima”, tuitou @kelvinfichter.
Então, Riptide retuitou o post e passou a considerar a recompensa baixa. Segundo ele, se uma rede oferece uma recompensa de US$ 2 milhões, tem que estar pronta para pagar isso quando for o caso:
“Caso contrário, basta dizer que o máximo é de 400 ETH e pronto. Os hackers observam quais projetos pagam e quais não. Na minha opinião, não é uma boa ideia incentivar um white hat a se tornar black hat”, tuitou o hacker white hat.