شیطنت‌ آربیتروم در پرداخت پاداش یک هکر

به گزارش واحد ترجمه گذارنیوز، آربیتروم (Arbitrum) که یکی از محبوب ترین راه‌حل‌های لایه دوم اتریوم است، به تازگی 400 واحد اتر (ETH) با ارزش تقریبی  560 هزار دلار به عنوان پاداش به هکر کلاه سفیدی پرداخت کرده است که یک آسیب‌پذیری احتمالی در کدهای آن را شناسایی کرد.

آربیتروم

این هکر کلاه سفید که در توییتر با نام ریپتاید (Riptide) شناخته می شود، وجود نوعی آسیب پذیری را در قراردادهای هوشمند نوشته شده در سالیدیتی (Solidity) پیدا کرده است. ریپتاید گفته است که این «آسیب‌پذیری چند میلیون دلاری» می‌تواند به طور بالقوه افرادی که قصد مبادله اتریوم به آربیتروم نیترو (Arbitrum Nitro) را دارند، تحت تأثیر قرار می‌دهد:

“مشکلی نیست، از طریق اینباکس همان قرارداد یک پل 470 میلیون دلاری بسازید. قطعاً این کار صلاحیت دریافت حداکثر جایزه را دارد”.

آربیتروم از ضرری چند میلیون دلاری جلوگیری کرد

این هکر چند هفته قبل از انتشار، کد آربیتروم نیترو (Arbitrum Nitro) را به طور کامل اسکن و قراردادها را بررسی کرد تا “ببینند که آیا به روز‌رسانی این پلتفرم موفقیت‌آمیز بوده است یا خیر.” پس از ارتقا، ریپتاید متوجه وجود باگ‌هایی شد که مانع از عملکرد صحیح پل می‌شدند. پس از بررسی بیشتر، وی متوجه شد که ترتیب‌دهنده صندوق ورودی با تاخیر مواجه شده است.

“یک کلاینت می‌تواند با امضا نمودن و انتشار یک تراکنش لایه اول (L1) در صندوق ورودی تاخیری زنجیره آریبتروم پیامی به سکوئنسر (Sequencer) ارسال کند. این قابلیت بیشتر برای سپرده‌گذاری اتر یا سایر توکن‌ها از طریق یک پل استفاده می‌شود”.

پس از اسکن مجدد قرارداد، ریپتاید تأیید کرد که باگ سکوئنسر صندوق ورودی، آسیب‌پذیری مهمی را در قرارداد ایجاد می‌کند که به موجب آن، ریپتاید یا یک هکر مخرب دیگر می‌توانست با انتقال سپرده‌های اتر دریافتی از لایه اول (L1) به پل لایه دوم (L2) به کیف پول‌های خود، قبل از شناسایی، میلیون‌ها دلار به جیب بزند.

با این حال، ریپتاید تصمیم گرفت وجود این باگ را گزارش و به جای سرقت وجوه، دریافت جایزه را انتخاب کند. ولی در کمال تعجب آن‌ها به جای پاداش ۲ میلیون دلاری که آربیتروم قبلاً به عنوان حداکثر پاداش اعلام کرده بود، فقط ۴۰۰ واحد اتر به او اهدا کردند. پس از دریافت، این هکر اعلام کرد که این پاداش با اهمیت باگ شناسایی‌شده و خطرات ناشی از آن مطابقت ندارد.

“منظور من این است که اگر ‌می‌خواهید پاداش 2 میلیون دلاری را پرداخت ‌کنید، خود را برای این کار آماده کنید؛ در غیراین‌صورت از ابتدا بگویید حداکثر جایزه 400 واحد اتر است و تمام. مراقب باشید چون هکرها می‌بینند که کدام پروژه ها وعده خود را عملی می‌کنند و کدام نه”.

گفتنی است که در ماه مارس 2022 (اسفند 1400)، آربیتروم قربانی یک حمله هکری شد که طی آن یک هکر یا گروهی از هکرها بیش از 100 قطعه توکن غیرمثلی (NFT) به ارزش حداقل 1.4 میلیون دلار را از تریژر دائو ( TreasureDAO) به سرقت بردند.

هکرهای کلاه سفید: تجارتی سودآور در دنیای رمزنگاری

حسابرسی مستقل در اکوسیستم ارزهای رمزنگاری‌شده از اهمیت بالایی برخوردار است تا جایی که همین امسال، چندین پلتفرم تصمیم گرفتند به هکرهای کلاه سفیدی که وجود آسیب‌پذیری‌های احتمالی در کد یا قراردادهای هوشمند آنها را گزارش دهند، جوایزی بپردازند.

به عنوان مثال، در اواسط ماه فوریه (اواخر بهمن 1400)، صرافی کوین بیس بزرگترین جایزه در تاریخ فعالیت خود، به ارزش 250 هزار دلار را به هکری به نام درخت آلفا (Tree of Alpha) پرداخت کرد تا آنها را از یک ضرر چند میلیارد دلاری ناشی از وجود یک نقص در ویژگی معاملات پیشرفته (Advanced Trading) نجات دهد.

در آن زمان، درخت آلفا از پاداشی که می‌توانست به دوران بازنشستگی او کمک کند سپاسگزار بود ولی همچون ریپتاید معتقد بود “یک جایزه بزرگ‌تر شاید راه‌حل هوشمندانه ای باشد که هکرهای بیشتری را از سوء استفاده از آسیب پذیری ها منع می‌کند”.

در جایی دیگر، جی فریمن (Jay Freeman) که با پروتکل غیرمتمرکز وی‌پی‌ان ارکید (VPN Orchid ) کار می‌کند و در جامعه جِیلبریک iOS یک افسانه است، بیش از ۲ میلیون دلار به خاطر گزارش یک آسیب‌پذیری در راه‌حل مقیاس‌پذیری لایه دوم اتریوم آپتیمیسم (Optimism)، دریافت کرد.

مترجم: مرضیه مظاهری

منبع: cryptopotato