الدفع لخفض رسوم شبكة الإيثريوم يفتح خطأ تصريف الأموال في التحكيم

الدفع لخفض رسوم شبكة ETH يفتح خطأ تصريف الأموال في أداة تحكيم أداة القياس

أدى الاندفاع لإيجاد طريقة لخفض تكاليف المعاملات على Ethereum blockchain للمطورين وراء أداة التحجيم Arbitrum إلى تفويت تغيير في أحدث إصدار كان من شأنه أن يسمح للمهاجمين بسرقة جميع الأموال المرسلة إلى الشبكة.

دفعت Arbitrum حوالي 400 إيثر (53000 دولار) للمتسلل الذي أبلغ عن الثغرة الأمنية.

تم العثور على التهديد في الطريقة التي يتم بها تقديم المعاملات ومعالجتها على الشبكة ، من خلال أداة تُعرف باسم الجسر ، والتي تتيح للمستخدمين نقل الرموز المميزة بين سلاسل الكتل المختلفة. أصبحت الهجمات على الجسور واحدة من أكبر التهديدات الأمنية في العملات المشفرة ، حيث تمثل ما يقرب من مليار دولار مسروقة في العام الماضي.

قال المتسلل ذو القبعة البيضاء ، المعروف باسم 0xriptide ، في منشور يوم الثلاثاء إن الثغرة الأمنية ستؤثر على أي مودع يحاول ربط الأموال من Ethereum إلى Arbitrum Nitro ، أحدث إصدار من Arbitrum.

اكتشف 0xriptide أن جميع المعاملات الواردة عبر الجسر تم إرسالها عبر رسالة إلى صندوق الوارد المتأخر الخاص بـ Arbitrum blockchain ، والذي قام بإجراء فحص لمعرفة ما إذا كانت العقود الكامنة وراء هذه المعاملات إما في عملية الإكمال أم أنها قد اكتملت بالفعل.

وجد 0xriptide أن الفتحات المخصصة لتخزين البيانات كانت فارغة لأن وظيفة Nitro تهدف إلى التحقق من المعاملات غيرت البيانات تلقائيًا. كان من شأن ذلك أن يسمح لممثل سيء بالتلاعب بعقد الجسر الذكي - الذي يمكن للجميع الوصول إليه لأنه برنامج مفتوح المصدر - وتعيين عنوانه كعنوان جهاز استقبال.

كان من الممكن أن يمنع سطر واحد من التعليمات البرمجية أي شخص من إجراء تغييرات على العقد المهم. ومع ذلك ، فقد تمت إزالته للسماح بمعاملات أرخص ولم يتم ملاحظة الثغرة الأمنية التي خلقتها ، على حد قول 0xriptide.

"أكبر إيداع تم تسجيله في عقد البريد الوارد كان 168000 ETH (~ 250 مم) مع إجمالي إيداعات نموذجية في فترة 24 ساعة تتراوح من 1000 إلى ~ 5000 ETH." هذا يعني أن الثغرة الأمنية قد تؤدي إلى مئات الملايين من الدولارات في الأموال المسروقة.