پاداش ۴۰۰ اتریومی اربیتروم

جزئیات یک آسیب پذیری و جایزه پرداخت شده توسط اربیتروم صبح امروز اعلام شد. این باگ اصلاح شده می توانست بیش از ۲۵۰ میلیون دلار به خطر بیاندازد.

این آسیب‌پذیری توسط شکارچی با نام مستعار solidity bounty “0xriptide” کشف شد. 0xriptide می‌گوید، این می‌تواند بر هر کاربری که تلاش می‌کرد پول را از اتریوم به Arbitrum Nitro متصل کند، تأثیر بگذارد.

اربیتروم  چهارصد اتریوم (حدود ۵۲۰۰۰۰ دلار) را به عنوان غرامت برای هشدار گرفتن به این باگ پرداخت کرده است

کارهای روزمره 0xriptide شامل جستجوی ImmuneFi است، یک پلتفرم جایزه باگ که از هک بیش از ۲۰ میلیارد دلار جلوگیری کرده است. او در این گزارش گفت که تمرکز اصلی او اخیراً بر جلوگیری از سوء استفاده‌های زنجیره‌ای متقابل متمرکز بوده است، زیرا آنها به دلیل ساختار “honeypot” بیشتر پروتکل‌های پل، حجم قابل توجهی از سرمایه را در معرض خطر قرار می‌دهند.

جستجوی اولیه او برای اکسپلویت Arbitrum چند هفته پیش قبل از ارتقاء Arbitrum Nitro آغاز شد. در تحقیقات اولیه، او آسیب پذیری پیدا کرد که در آن قرارداد پل می توانست سپرده ها را بپذیرد، حتی اگر قرارداد قبلاً اولیه شده بود.

0xriptide گفت،

زمانی که در سالیدیتی به یک متغیر آدرس غیراصولی برخورد می‌کنید، همیشه باید لحظه‌ای درنگ کنید و بیشتر تحقیق کنید، زیرا هرگز نمی‌دانید که آیا این متغیر به طور هدفمند بدون مقدار اولیه رها شده است یا تصادفی.

0xriptide پس از کاوش در آدرس اولیه، متوجه شد که یک هکر می‌تواند آدرس خود را به‌عنوان پل تنظیم کند، با تقلید از قرارداد واقعی، و تمام سپرده‌های اتریوم ورودی از اتریوم به Arbitrum Nitro را بدزدد.

هکر می‌توانست این انعطاف‌پذیری را داشته باشد که یا سپرده‌های بزرگ‌تر اتریوم را هدف قرار دهد تا اقدامات آن‌ها را پنهان کند، یا حمله‌ای از نوع چریکی را آغاز کند و تمام سرمایه‌های ورودی را از بین ببرد.

بزرگ‌ترین سپرده در دوره‌ای که بهره‌برداری ممکن بود رخ دهد، تقریباً ۱۶۸۰۰۰ اتربوم یا ۲۵۰ میلیون دلار بود. میانگین سپرده‌ها در هر دوره زمانی ۲۴ ساعته که می‌توانست از آسیب‌پذیری مورد سوء استفاده قرار گیرد، از ۱۰۰۰ تا ۵۰۰۰ اتریوم بوده است.