White Hat Hacker กอบกู้สถานการณ์ร้ายจากการเปิดเผยช่องโหว่ของ Arbitrum

แปลแล้ว Azmi Boonmalert
สรุปย่อ
  • White Hat Hacker รายหนึ่งตรวจพบข้อผิดพลาดที่นำไปสู่การหาประโยชน์ได้ในบริดจ์ที่เชื่อมต่อ Ethereum และ Arbitrum Nitro
  • เขาได้รับรางวัลเป็น 400 ETH จากการเปิดเผยบั๊กตัวดังกล่าวที่อยู่บน Arbitrum ซึ่งเป็น Scaling Solution ของ Ethereum
  • การตรวจพบดังกล่าวนำไปสู่ข้อถกเถียงเกี่ยวกับการให้ค่าตอบแทนเมื่อตรวจพบบั๊กที่ถูกส่งหน้าที่ไปให้นักพัฒนาหรือ White Hat Hacker จัดการ

ข้อผิดพลาดที่หาประโยชน์ได้ในบริดจ์ที่เชื่อมระหว่าง Ethereum และ Arbitrum Nitro ถูกเปิดเผยโดยนักพัฒนาที่ไม่ระบุชื่อ เพื่อหลีกเลี่ยงการแฮ็คคริปโตที่สำคัญตัวอื่น ๆ ในระบบนิเวศของคริปโตเคอเรนซี

แฮ็กเกอร์สายจริยธรรม นามแฝงว่า Riptide ได้รับเงินรางวัล 400 ETH โดยเปิดเผยจุดบกพร่องที่สำคัญใน Arbitrum ซึ่งเป็นโซลูชันการปรับขนาด Ethereum ที่อาจเปิดโอกาสให้แฮ็กเกอร์ขโมยเงินฝากที่เข้ามาทั้งหมดระหว่างสะพาน Layer1 และ Layer2

แทนที่จะใช้ประโยชน์จากการละเมิด แฮ็กเกอร์ที่มีจริยธรรมรายดังกล่าวกล่าวว่า “ความสนใจในปัจจุบันของเขาอยู่ที่ Cross-chain Arena เนื่องจากความซับซ้อนที่เกี่ยวข้องกับนักพัฒนาของโครงการเหล่านี้และเงินทุนจำนวนมากที่มีความเสี่ยงเนื่องจากโครงสร้าง ‘honeypot’ ปัจจุบันของการใช้งานบริดจ์ส่วนใหญ่”

White Hat Hacker รายนี้ป้องกันเหตุการขโมยเงินหลายล้านดอลลาร์สหรัฐได้

Riptide ตั้งข้อสังเกตในบล็อกโพสต์ว่าเขารู้ว่า Arbitrum Nitro กำลังเปิดตัวและตัดสินใจที่จะจับตาดูการอัปเกรดเพื่อตรวจสอบความสำเร็จ อย่างไรก็ตาม หลังจากพบการละเมิดความปลอดภัยของผู้ใช้งานแล้ว แฮ็กเกอร์รายนี้ระบุว่าเขามีเวลาเพียงพอที่จะกำหนดเป้าหมายไปยังเงินฝาก ETH ขนาดใหญ่เพื่อไม่ให้ถูกตรวจพบได้เป็นระยะเวลานานขึ้น เขาจึงดูดเอาเงินฝากทั้งหมดที่ผ่านบริดจ์ออก หรือเพียงแค่รอและดำเนินการฝาก ETH ครั้งใหญ่ในคราวต่อไป

กล่องขาเข้าที่ล่าช้าของ Arbitrum chain ซึ่งใช้สำหรับฝาก ETH หรือโทเค็นผ่านบริดจ์นั้นใช้งานฟังก์ชันเริ่มต้น แฮ็กเกอร์เปี่ยมคุณธรรมรายกล่าวว่า “เราสามารถปล้นจี้เงินฝาก ETH ที่เข้ามาทั้งหมดจากผู้ใช้ที่พยายามเชื่อมต่อกับ Arbitrum ผ่านฟังก์ชัน depositEth()”

ช่องโหว่บนบริดจ์คริปโตเป็นจุดอ่อนที่โดนโจมตีบ่อยที่สุด

เมื่อต้นเดือนสิงหาคม คริปโตบริดจ์ Nomad  ถูกปล้นเงินไปเกือบ 200 ล้านดอลลาร์สหรัฐ เนื่องจากการโจมตีบริดจ์เป็นกลวิธีที่พบได้บ่อยในหมู่อาชญากร ในปีนี้ปีเดียว มีการโจมตีหลายครั้ง ซึ่งรวมถึงการโจมตีที่สร้างความเสียหายมูลค่า 600 ล้านดอลลาร์สหรัฐที่ Ronin Bridge ซึ่งเพิ่งเปิดใหม่โดย Axie Infinity

ตามรายงานของ Chainalysis มีรายงานว่าแฮ็กเกอร์ขโมยเงินเกือบ 2 พันล้านดอลลาร์สหรัฐจาก อุตสาหกรรม DeFi  ในช่วงหกเดือนแรกของปีนี้ ในขณะเดียวกัน คาดว่า กลุ่มอาชญากรของเกาหลีเหนือได้ปล้นเงินดิจิทัลไปแล้ว 1 พันล้านดอลลาร์จากโปรโตคอล DeFi ในปี 2022 เพียงปีเดียว

ด้วยเหตุนี้ เหตุการณ์ดังกล่าวจึงเริ่มมีการถกเถียงกันเกี่ยวกับจำนวนรางวัลที่มอบให้กับนักพัฒนาและแฮ็กเกอร์เปี่ยมคุณธรรมรายนี้เพื่อเปิดเผยจุดอ่อน 

นักพัฒนาจาก Optimism ที่ใช้ Twitter จัดการ ‘smartcontracts.eth’ แย้งว่าเมื่อพิจารณาถึงผลกระทบที่อาจเกิดขึ้นจากความผิดพลาด ผลตอบแทนสูงสุดก็อาจเกิดขึ้น โดยเสริมว่า “ข้อผิดพลาดของบริดจ์ Arbitrum เป็นข้อผิดพลาดของบริดจ์ที่สำคัญ #3 ที่เกิดจากตัวเริ่มต้นที่ไม่ดี ในกรณีที่เราต้องการเหตุผลอื่นเพื่อกำจัดตัวเริ่มต้นเหล่านั้น น่าแปลกใจที่ Arbitrum จ่ายเพียง 400 ETH และไม่ใช่ค่าหัวสูงสุดที่ให้ได้ด้วยซ้ำ”

บล็อกเน้นว่าเงินฝาก้อนใหญ่ที่สุดที่เก็บเอาไว้ใน Inbox Contract คือ 168,000 ETH (เกือบ 250 ล้านดอลลาร์สหรัฐ) โดยมีเงินฝากทั้งหมดใน 24 ชั่วโมงตั้งแต่ ~ 1,000 ถึง ~ 5000 ETH เผยให้เห็นขอบเขตของการทำ Rug Pull หรือการแฮ็คที่อาจเกิดขึ้น

ข้อจำกัดความรับผิด

ข้อมูลทั้งหมดที่มีอยู่บนเว็บไซต์ของเราเผยแพร่ด้วยเจตนาที่ดีและเป็นไปเพื่อวัตถุประสงค์ในการให้ข้อมูลทั่วไปเท่านั้น การกระทำใด ๆ ที่ผู้อ่านดำเนินการตามข้อมูลที่พบบนเว็บไซต์ของเราถือเป็นความเสี่ยงของผู้อ่านโดยเฉพาะ