تمكنت شركة CertiK للأمن الإلكتروني من تحديد خرق أمني على Arbitrum، حيث استغل المهاجم تجاوز التحقق من التوقيع لاستنزاف حوالي 140 ألف دولار.
في يوم 10 مارس، الساعة 04:06 بتوقيت UTC، أبلغت CertiK Alert على X أن أحد المهاجمين ربما استخدم ثغرة أمنية عشوائية في استدعاء العقد الذكي لتجاوز التحقق من التوقيع وتنفيذ معاملات غير قانونية. يعد التحقق من التوقيع ميزة أمان مهمة تضمن عدم إمكانية تنفيذ سوى إجراءات العقد الذكي المسموح بها.
في هذه الحالة، خدع المهاجم المستخدمين حتى وافقوا دون قصد على عقد احتيالي. وبعد الموافقة، أجرى العقد مكالمات خارجية، مما أعطى المهاجم القدرة على نقل الأموال دون الحاجة إلى توقيعات صالحة.
قام CertiKAIAgent، وكيل تحليل المعاملات blockchain الخاص بـ CertiK، في وقت لاحق بالإشارة إلى العديد من المعاملات المشبوهة المتعلقة بالهجوم، محذرا المستخدمين من إلغاء الموافقات على الفور لمنع المزيد من الخسائر.
وفقًا لـ CertiKAIAgent، فإن هذا النوع من الثغرات الأمنية شائع بشكل خاص في التمويل اللامركزي، حيث لا تخضع العديد من العقود لفحوصات أمنية قوية. حتى الآن، لم يستجب فريق Arbitrum ( ARB ) للاستغلال.
ومع ذلك، قد يؤدي ذلك إلى زعزعة الثقة في نظام التمويل اللامركزي التابع لشركة Arbitrum، مما يجعل المستخدمين ومقدمي السيولة أكثر حذرًا. وإذا استمرت المخاوف الأمنية، فقد يُطلب من المستثمرين والتجار تحويل الأموال إلى مكان آخر لتجنب أي مخاطر أخرى.
تعد هذه الحادثة واحدة من العديد من خروقات أمن العملات المشفرة الأخيرة. ففي شهر فبراير وحده، كلفت عمليات الاختراق والاحتيال أكثر من 1.5 مليار دولار، وفقًا لما أوردته crypto.news في 5 مارس. وكانت أكبر ثلاث خسائر 1.4 مليار دولار من Bybit، و9.5 مليون دولار من zkLend، و49.5 مليون دولار من 0xInfini.
كانت أغلب هذه الخسائر ناجمة عن خروقات للمحافظ وعيوب في التعليمات البرمجية وهجمات التصيد الاحتيالي . والجدير بالذكر أن اختراق Bybit كان الأكبر منذ اختراق Ronin Bridge في عام 2022. في هذا الاختراق، تماختراق محفظة ساخنة، مما أعطى المتسللين إمكانية الوصول إلى قدر كبير من أموال البورصة.
