Na última segunda-feira (19), um white hacker chamado riptide publicou um documento explicando como encontrou um bug na Arbitrum, solução de segunda camada do Ethereum. Ao fim do texto, agradeceu a recompensa de 400 ETH (R$ 2,8 milhões) da equipe.
Entretanto, o hacker não parece estar tão contente com tal prêmio. Afinal, após receber o apoio de outros desenvolvedores, agora riptide acredita que deveria ter recebido a maior recompensa possível.
Um dos pontos observados é que a falha deixava 351.803 ETH (R$ 2,5 bilhões) desprotegidos. Sendo assim, deveria ser considerado como um bug crítico pela equipe.
“O bug da ponte Arbitrum é o bug crítico causado por inicializadores ruins […] A surpresa é que a Arbitrum pagou apenas 400 ETH e não a recompensa máxima.”
Doing this again since my other quote tweet got censored by tweeter. Arbitrum bridge bug is critical bridge bug #3 caused by bad initializers, in case we needed another reason to get rid of initializers. Surprised Arbitrum only paid 400 ETH and not max bounty given deposits like: https://t.co/Lx32UVjDtF pic.twitter.com/cmSx1HMI1k
— smartcontracts.eth (✨🔴_🔴✨) (@kelvinfichter) September 20, 2022
Na imagem, é possível observar os bilhões de reais em ether, que estavam desprotegidos até a descoberta do bug, sendo enviados para outra carteira da Arbitrum.
Hacker quer mais dinheiro e ameaça projeto cripto
Comentando o tuíte acima, o próprio hacker que agradeceu o prêmio de 400 ETH agora acredita que deva receber o maior prêmio possível, de 2 milhões de dólares (R$ 10,4 mi), quase 4 vezes maior que o anterior.
“Nada demais, apenas uma ponte de US$ 470 milhões (R$ 2,5 bi) com o mesmo contrato do Inbox. Definitivamente deve ser elegível para uma recompensa máxima.”
Questionado sobre seu agradecimento anterior, riptide comenta que tais projetos devem cumprir com as suas promessas. Caso contrário, a comunidade hacker não terá vontade em realizar acordo com os mesmos.
“Meu ponto é que, se você postar uma recompensa de US$ 2 milhões (R$ 10,4 mi), esteja preparado para pagá-la quando for justificada. Caso contrário, basta dizer que a recompensa máxima é de 400 ETH e pronto”, argumenta riptide, hacker que salvou a Arbitrum. “Hackers observam quais projetos pagam e quais não. Na minha opinião, não é uma boa ideia incentivar um whitehat a se tornar blackhat.”
My point is that if you post a $2mm bounty- be prepared to pay it when it’s justified. Otherwise just say the max bounty is 400 ETH and be done with it.
Hackers watch which projects pay out and which do not
IMO not a good idea to incentivize a whitehat to go blackhat
— riptide (@0xriptide) September 20, 2022
Até o fechamento desta redação, a Arbitrum não comentou publicamente sobre a discussão. No momento, a comunidade aguarda pelo desenvolver da história.