خطأ قابل للاستغلال في الجسر الذي يربط إثيريم و التحكيم تم الكشف عن Nitro بواسطة مطور مجهول ، متجنبًا اختراقًا رئيسيًا آخر للعملات المشفرة في نظام التشفير البيئي.
طالب القراصنة ذو القبعة البيضاء ، riptide ، بمكافأة قدرها 400 ETH من خلال الكشف عن خطأ فادح في حل تحجيم Ethereum الذي كان من الممكن أن يسمح لأي متسلل بسرقة جميع الودائع الواردة بين جسر Layer1 و Layer2.
بدلاً من استغلال الاختراق ، أشار المتسلل الأخلاقي إلى أن "اهتمامي الحالي هو داخل الساحة عبر السلاسل نظرًا للتعقيد الذي ينطوي عليه مطورو هذه المشاريع والمبلغ الكبير من الأموال المعرضة للخطر بسبب هيكل" موضع الجذب "الحالي لـ معظم تطبيقات الجسر ".
المخترق الأخلاقي ذو القبعة البيضاء يحول استغلالًا آخر بملايين الدولارات
أشار Riptide في منشور مدونة إلى أنه يعلم أن Arbitrum Nitro يتم إطلاقه وقرر مراقبة الترقية للتحقق من نجاحها. ومع ذلك ، بعد العثور على ملف أمن لاحظ المتسلل الأخلاقي أن هناك وقتًا كافيًا لاستهداف ودائع ETH الكبيرة بشكل انتقائي لتظل غير مكتشفة لفترة أطول ، أو سحب كل وديعة واحدة تمر عبر الجسر ، أو ببساطة انتظر وقم بتشغيل إيداع ETH الضخم التالي.
صندوق الوارد المتأخر لسلسلة Arbitrum ، والذي يستخدم لإيداع ETH أو الرموز المميزة عبر جسر ، يستخدم وظيفة التهيئة. لاحظ المتسلل ذو القبعة البيضاء أنه "يمكننا اختطاف جميع ودائع ETH الواردة من المستخدمين الذين يحاولون التواصل مع Arbitrum عبر وظيفة الإيداع ()."
الثغرات الأمنية على جسور التشفير هي الأكثر استغلالاً
في وقت سابق من أغسطس ، جسر التشفير البدوي تم استغلالها لحوالي 200 مليون دولار لأن هجمات الجسور هي تكتيك شائع بشكل متزايد للمجرمين. وقعت العديد من الهجمات هذا العام وحده ، بما في ذلك هجوم بقيمة 600 مليون دولار على جسر رونين الذي أعيد افتتاحه في Axie Infinity.
قراصنة يقال نهب ما يقرب من 2 مليار دولار من الصدمة صناعة خلال الأشهر الستة الأولى من هذا العام ، وفقا ل Chainalysis. وفي الوقت نفسه ، من المقدر أيضًا أن الجماعات الإجرامية في كوريا الشمالية حصل بالفعل على مليار دولار من العملات المشفرة الصدمة البروتوكولات في عام 2022 وحده.
مع ذلك ، بدأ الحادث أيضًا نقاشًا حول عدد المكافآت التي تم تسليمها للمطورين وقراصنة القبعة البيضاء لفضح نقاط الضعف. جادل أحد مطوري التفاؤل ، الذي يستخدم `` smartcontracts.eth '' في التعامل مع Twitter ، أنه نظرًا للتأثير المحتمل للخطأ ، كان من الممكن منح الحد الأقصى للمكافأة ، مضيفًا ، "خطأ جسر Arbitrum هو خطأ جسر حرج رقم 3 بسبب عوامل التهيئة السيئة ، في حال احتجنا إلى سبب آخر للتخلص من التهيئة. Arbitrum مندهش لم يدفع إلا 400 ETH وليس [] الحد الأقصى للمكافأة الممنوحة. "
سلطت المدونة الضوء على أن أهم إيداع تم تسجيله في عقد البريد الوارد كان 168,000 ETH (ما يقرب من 250 مليون دولار) ، مع إجمالي الإيداعات في 24 ساعة تتراوح من 1000 إلى ~ 5000 ETH ، مما يكشف عن مدى إمكانية سحب البساط أو الاختراق.
إخلاء المسئولية
يتم نشر جميع المعلومات الواردة على موقعنا بحسن نية ولأغراض المعلومات العامة فقط. أي إجراء يتخذه القارئ بشأن المعلومات الموجودة على موقعنا هو على مسؤوليته الخاصة.
المصدر: https://beincrypto.com/white-hat-hacker-saves-day-revealing-vulnerability-arbitrum/