شرکت امنیت بلاکچین CertiK از یک نقص امنیتی جدی در شبکه آربیتروم (Arbitrum) خبر داد که طی آن یک مهاجم با سوءاستفاده از یک آسیبپذیری در تأیید امضا، موفق به سرقت حدود ۱۴۰ هزار دلار شد.
بر اساس گزارش رسمی CertiK، این حمله در تاریخ ۱۰ مارس و در ساعت ۰۴:۰۶ به وقت جهانی (UTC) رخ داده است. مهاجم با استفاده از یک آسیبپذیری در قراردادهای هوشمند، توانست از طریق دور زدن سیستم تأیید امضا، تراکنشهای غیرمجاز انجام دهد.
شیوه اجرای این حمله به این صورت بوده که مهاجم کاربران را فریب داده تا یک قرارداد مخرب را تأیید کنند. پس از تأیید اولیه، این قرارداد اقدام به تماسهای خارجی کرده که به مهاجم اجازه جابجایی وجوه بدون نیاز به امضاهای معتبر را داده است.
عامل تحلیل تراکنشهای بلاکچین CertiKAIAgent، چندین تراکنش مشکوک مرتبط با این حمله را شناسایی کرده و به کاربران هشدار داده که فوراً مجوزهای خود را لغو کنند تا از ضررهای بیشتر جلوگیری شود.
این حادثه در حالی رخ داده که در ماه فوریه هکها و کلاهبرداریهای رمزارزی بیش از ۱.۵ میلیارد دلار خسارت ایجاد کردهاند. بزرگترین خسارتها شامل ۱.۴ میلیارد دلار از صرافی بای بیت (Bybit)، ۹.۵ میلیون دلار از zkLend و ۴۹.۵ میلیون دلار از 0xInfini بوده است.
کارشناسان معتقدند این نوع آسیبپذیری بهویژه در حوزه امور مالی غیرمتمرکز (DeFi) رایج است، جایی که بسیاری از قراردادها فاقد بررسیهای امنیتی مناسب هستند. تیم آربیتروم تاکنون واکنشی به این حمله نشان نداده است.
