ข้อผิดพลาดที่หาประโยชน์ได้ในบริดจ์ที่เชื่อมระหว่าง Ethereum และ Arbitrum Nitro ถูกเปิดเผยโดยนักพัฒนาที่ไม่ระบุชื่อ เพื่อหลีกเลี่ยงการแฮ็คคริปโตที่สำคัญตัวอื่น ๆ ในระบบนิเวศของคริปโตเคอเรนซี
แฮ็กเกอร์สายจริยธรรม นามแฝงว่า Riptide ได้รับเงินรางวัล 400 ETH โดยเปิดเผยจุดบกพร่องที่สำคัญใน Arbitrum ซึ่งเป็นโซลูชันการปรับขนาด Ethereum ที่อาจเปิดโอกาสให้แฮ็กเกอร์ขโมยเงินฝากที่เข้ามาทั้งหมดระหว่างสะพาน Layer1 และ Layer2
แทนที่จะใช้ประโยชน์จากการละเมิด แฮ็กเกอร์ที่มีจริยธรรมรายดังกล่าวกล่าวว่า “ความสนใจในปัจจุบันของเขาอยู่ที่ Cross-chain Arena เนื่องจากความซับซ้อนที่เกี่ยวข้องกับนักพัฒนาของโครงการเหล่านี้และเงินทุนจำนวนมากที่มีความเสี่ยงเนื่องจากโครงสร้าง ‘honeypot’ ปัจจุบันของการใช้งานบริดจ์ส่วนใหญ่”
White Hat Hacker รายนี้ป้องกันเหตุการขโมยเงินหลายล้านดอลลาร์สหรัฐได้
Riptide ตั้งข้อสังเกตในบล็อกโพสต์ว่าเขารู้ว่า Arbitrum Nitro กำลังเปิดตัวและตัดสินใจที่จะจับตาดูการอัปเกรดเพื่อตรวจสอบความสำเร็จ อย่างไรก็ตาม หลังจากพบการละเมิดความปลอดภัยของผู้ใช้งานแล้ว แฮ็กเกอร์รายนี้ระบุว่าเขามีเวลาเพียงพอที่จะกำหนดเป้าหมายไปยังเงินฝาก ETH ขนาดใหญ่เพื่อไม่ให้ถูกตรวจพบได้เป็นระยะเวลานานขึ้น เขาจึงดูดเอาเงินฝากทั้งหมดที่ผ่านบริดจ์ออก หรือเพียงแค่รอและดำเนินการฝาก ETH ครั้งใหญ่ในคราวต่อไป
กล่องขาเข้าที่ล่าช้าของ Arbitrum chain ซึ่งใช้สำหรับฝาก ETH หรือโทเค็นผ่านบริดจ์นั้นใช้งานฟังก์ชันเริ่มต้น แฮ็กเกอร์เปี่ยมคุณธรรมรายกล่าวว่า “เราสามารถปล้นจี้เงินฝาก ETH ที่เข้ามาทั้งหมดจากผู้ใช้ที่พยายามเชื่อมต่อกับ Arbitrum ผ่านฟังก์ชัน depositEth()”
ช่องโหว่บนบริดจ์คริปโตเป็นจุดอ่อนที่โดนโจมตีบ่อยที่สุด
เมื่อต้นเดือนสิงหาคม คริปโตบริดจ์ Nomad ถูกปล้นเงินไปเกือบ 200 ล้านดอลลาร์สหรัฐ เนื่องจากการโจมตีบริดจ์เป็นกลวิธีที่พบได้บ่อยในหมู่อาชญากร ในปีนี้ปีเดียว มีการโจมตีหลายครั้ง ซึ่งรวมถึงการโจมตีที่สร้างความเสียหายมูลค่า 600 ล้านดอลลาร์สหรัฐที่ Ronin Bridge ซึ่งเพิ่งเปิดใหม่โดย Axie Infinity
ตามรายงานของ Chainalysis มีรายงานว่าแฮ็กเกอร์ขโมยเงินเกือบ 2 พันล้านดอลลาร์สหรัฐจาก อุตสาหกรรม DeFi ในช่วงหกเดือนแรกของปีนี้ ในขณะเดียวกัน คาดว่า กลุ่มอาชญากรของเกาหลีเหนือได้ปล้นเงินดิจิทัลไปแล้ว 1 พันล้านดอลลาร์จากโปรโตคอล DeFi ในปี 2022 เพียงปีเดียว
ด้วยเหตุนี้ เหตุการณ์ดังกล่าวจึงเริ่มมีการถกเถียงกันเกี่ยวกับจำนวนรางวัลที่มอบให้กับนักพัฒนาและแฮ็กเกอร์เปี่ยมคุณธรรมรายนี้เพื่อเปิดเผยจุดอ่อน
นักพัฒนาจาก Optimism ที่ใช้ Twitter จัดการ ‘smartcontracts.eth’ แย้งว่าเมื่อพิจารณาถึงผลกระทบที่อาจเกิดขึ้นจากความผิดพลาด ผลตอบแทนสูงสุดก็อาจเกิดขึ้น โดยเสริมว่า “ข้อผิดพลาดของบริดจ์ Arbitrum เป็นข้อผิดพลาดของบริดจ์ที่สำคัญ #3 ที่เกิดจากตัวเริ่มต้นที่ไม่ดี ในกรณีที่เราต้องการเหตุผลอื่นเพื่อกำจัดตัวเริ่มต้นเหล่านั้น น่าแปลกใจที่ Arbitrum จ่ายเพียง 400 ETH และไม่ใช่ค่าหัวสูงสุดที่ให้ได้ด้วยซ้ำ”
บล็อกเน้นว่าเงินฝาก้อนใหญ่ที่สุดที่เก็บเอาไว้ใน Inbox Contract คือ 168,000 ETH (เกือบ 250 ล้านดอลลาร์สหรัฐ) โดยมีเงินฝากทั้งหมดใน 24 ชั่วโมงตั้งแต่ ~ 1,000 ถึง ~ 5000 ETH เผยให้เห็นขอบเขตของการทำ Rug Pull หรือการแฮ็คที่อาจเกิดขึ้น
ข้อจำกัดความรับผิด
หมายเหตุบรรณาธิการ: เนื้อหาต่อไปนี้ไม่ได้สะท้อนถึงมุมมองหรือความคิเห็นของ BeInCrypto มันจัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลเท่านั้นและไม่ควรถูกตีความว่าเป็นคำแนะนำทางการเงิน กรุณาทำการวิจัยของคุณเองก่อนที่จะทำการตัดสินใจลงทุนใดๆ