Arbitrumの重大な脆弱性を検出したハッカーに400ETHが支払われる
9月19日(月曜日)、イーサリアム(Ethereum)のLayer 2ソリューションとして最も人気のあるArbitrum(アービトラム)が、同社のコードに潜在的な脆弱性を発見したホワイトハットハッカーに対し、400ETH(約56万円)を支払ったことが明らかになった。
Twitterユーザー名@Riptideとして知られるこのホワイトハットハッカーは、Solidityで書かれたスマートコントラクトの中に脆弱性を発見したとのこと。@Riptide氏は、この数百万ドルの被害を起こす可能性のある脆弱性は、イーサリアムからArbitrum Nitroへの資金交換を望む人に潜在的に影響を与える可能性があると指摘しているとのこと。アップグレード後、@Riptide氏は、ブリッジが正しく動作しないいくつかのエラーに気づき、さらに調べると、受信トレイのシーケンサーに遅延が発生していることに気づいたとのことで、次のように語っている。
クライアントは、ArbitrumチェーンのDelayed InboxにL1トランザクションを署名して公開することで、シーケンサーにメッセージを送信ができるものです。契約を再スキャンした後、受信トレイシーケンサーのバグによって、Riptideまたは別の悪意のあるハッカーが検出される前にL1ブリッジからL2ブリッジへの受信ETH預金を自分のウォレットに流用して数百万ドルを獲得できる契約の重要な脆弱性を確認しました。
ホワイトハッカーへの報酬
今回の報酬に関しては、Arbitrumが最大ティアとして提供する200万ドル(約2.8億円)の報酬ではなく、わずか400ETH(約7,645万円、※CoinMarketCap9月23日16時時点)であったことから、報酬を受け取ったハッカーは、バグの重要性とそれに伴うリスクに見合わないものだと主張している。
実際、ホワイトハッカーによる独立した監査は、仮想通貨エコシステムにおいて大きな重要性を持っており、今年に入ってから、いくつかのプラットフォームが、コードやスマートコントラクトの潜在的な脆弱性を報告したホワイトハットハッカーに報奨金を支払うことを選択している。例えば、2022年2月中旬にCoinbaseは、Advanced Trading機能の欠陥による10億ドル(約1,423億円)の損失から救ったとして、Tree of Alphaと名乗るハッカーに史上最大の懸賞金として25万ドル(約3,560万円)を支払ったとのこと。当時、Tree of Alpha氏は、この報酬が退職後に役立つと述べて感謝していたが、Riptideと同様に、もっと高い報奨金があれば、脆弱性を悪用するグレーハットを抑止できたと指摘している。
また、分散型VPNプロトコルOrchidで活動し、iOS脱獄コミュニティの伝説的存在であるJay “Saurik” Freeman氏は、イーサリアム用のレイヤー2スケーリングソリューションである、Optimismの脆弱性を報告して200万ドル(約2億8,500万円)を超える報酬を受け取ったとのことだ。