Quanto você pagaria para evitar um hack de US $470 milhões? Para a Arbitrum, a resposta é 400 ETH, cerca de US $540 mil, pouco mais de $2.7 milhões de reais.
Na segunda-feira, 19 de setembro, a Arbitrum, uma das soluções da Layer 2 mais populares do Ethereum, pagou 400 ETH a um white hat, ou hacker ético, que encontrou uma vulnerabilidade potencial em seu código.
O hacker, conhecido no Twitter como Riptide, encontra vulnerabilidades dentro de contratos inteligentes escritos em Solidity. Riptide disse que a “vulnerabilidade multimilionária” poderia afetar potencialmente qualquer um que quisesse mover fundos do Ethereum para a Arbitrum Nitro.
Arbitrum se salvou grandes perdas
O hacker escaneou minuciosamente o código Arbitrum Nitro algumas semanas antes de ser lançado, verificando os contratos para que pudessem “ver se a atualização tinha sido um sucesso.”
Após a atualização, Riptide notou alguns erros que impediram que a ponte funcionasse corretamente. Depois de uma nova inspeção, Riptide notou que o sequenciador da caixa de entrada estava sofrendo um atraso.
“Um cliente pode enviar uma mensagem para o sequenciador assinando e publicando uma transação L1 na caixa de entrada atrasada da Arbitrum. Esta funcionalidade é mais comumente usada para depositar ETH ou tokens através de uma ponte.”
Analisando o contrato novamente, Riptide confirmou que o bug do sequenciador da caixa de entrada permitiu uma vulnerabilidade crítica no contrato pela qual ele ou outro hacker malicioso poderia ter obtido milhões de dólares, desviando os depósitos de ETH recebidos da ponte L1 para a ponte L2 em suas carteiras antes de serem detectados.
Entretanto, Riptide decidiu relatar a vulnerabilidade e solicitar uma recompensa que, para sua surpresa, era de apenas 400 ETH em vez dos $2 milhões de dólares de recompensa máxima oferecidos pela Arbitrum.
Ao receber a recompensa, o hacker argumentou que o valor não estava de acordo com a importância do bug e o risco que ele implicava, e não perdeu a oportunidade de sugerir uma chantagem em tom de ameaça.
Os hackers observam quais projetos pagam e quais não pagam.
Na minha opinião, não é uma boa ideia incentivar um hakcer ético a ir para o crime.”
Vale mencionar que em março de 2022, a Arbitrum foi vítima de um ataque no qual um hacker, ou um grupo de hackers, roubou mais de 100 NFT da TreasureDAO, com uma valorização de pelo menos US $1.4 milhões.
Hackers éticos: Um negócio lucrativo no mundo cripto
As análises independentes são de enorme importância no ecossistema cripto. Ao longo do ano, várias plataformas optaram por pagar uma recompensa aos hackers éticos que relatam potenciais vulnerabilidades em seus códigos ou contratos inteligentes.
Por exemplo, em meados de fevereiro, a Coinbase pagou “a maior recompensa em sua história” US $250.000 a um hacker chamado “Tree of Alpha” por salvá-los de uma perda de $1 bilhão de dólares devido a uma falha no recurso “Advanced Trading.”
Na época, Tree of Alpha agradeceu o pagamento afirmando que poderia servi-lo bem na aposentadoria. Entretanto, assim como Riptide, ele observou que “uma recompensa mais alta poderia ter sido inteligente para impedir que mais hackers se aproveitassem de vulnerabilidades.”
Leia também: