جزئیات یک آسیب پذیری و جایزه پرداخت شده توسط اربیتروم صبح امروز اعلام شد. این باگ اصلاح شده می توانست بیش از 250 میلیون دلار به خطر بیاندازد.
این آسیبپذیری توسط شکارچی با نام مستعار solidity bounty “0xriptide” کشف شد. 0xriptide میگوید، این میتواند بر هر کاربری که تلاش میکرد پول را از اتریوم به Arbitrum Nitro متصل کند، تأثیر بگذارد.
اربیتروم چهارصد اتریوم (حدود 520000 دلار) را به عنوان غرامت برای هشدار گرفتن به این باگ پرداخت کرده است
کارهای روزمره 0xriptide شامل جستجوی ImmuneFi است، یک پلتفرم جایزه باگ که از هک بیش از 20 میلیارد دلار جلوگیری کرده است. او در این گزارش گفت که تمرکز اصلی او اخیراً بر جلوگیری از سوء استفادههای زنجیرهای متقابل متمرکز بوده است، زیرا آنها به دلیل ساختار “honeypot” بیشتر پروتکلهای پل، حجم قابل توجهی از سرمایه را در معرض خطر قرار میدهند.
جستجوی اولیه او برای اکسپلویت Arbitrum چند هفته پیش قبل از ارتقاء Arbitrum Nitro آغاز شد. در تحقیقات اولیه، او آسیب پذیری پیدا کرد که در آن قرارداد پل می توانست سپرده ها را بپذیرد، حتی اگر قرارداد قبلاً اولیه شده بود.
0xriptide گفت،
زمانی که در سالیدیتی به یک متغیر آدرس غیراصولی برخورد میکنید، همیشه باید لحظهای درنگ کنید و بیشتر تحقیق کنید، زیرا هرگز نمیدانید که آیا این متغیر به طور هدفمند بدون مقدار اولیه رها شده است یا تصادفی.
0xriptide پس از کاوش در آدرس اولیه، متوجه شد که یک هکر میتواند آدرس خود را بهعنوان پل تنظیم کند، با تقلید از قرارداد واقعی، و تمام سپردههای اتریوم ورودی از اتریوم به Arbitrum Nitro را بدزدد.
هکر میتوانست این انعطافپذیری را داشته باشد که یا سپردههای بزرگتر اتریوم را هدف قرار دهد تا اقدامات آنها را پنهان کند، یا حملهای از نوع چریکی را آغاز کند و تمام سرمایههای ورودی را از بین ببرد.
بزرگترین سپرده در دورهای که بهرهبرداری ممکن بود رخ دهد، تقریباً 168000 اتربوم یا 250 میلیون دلار بود. میانگین سپردهها در هر دوره زمانی 24 ساعته که میتوانست از آسیبپذیری مورد سوء استفاده قرار گیرد، از 1000 تا 5000 اتریوم بوده است.
