شرکت امنیت بلاکچین CertiK یک نقص امنیتی را در Arbitrum شناسایی کرده است که در آن یک حملهکننده از یک دور زدن تأیید امضا برای تخلیه حدود ۱۴۰ هزار دلار استفاده کرده است.
در تاریخ ۱۰ مارس، ساعت ۰۴:۰۶ به وقت جهانی، هشدار CertiK در X گزارش داد که یک حملهکننده احتمالاً از یک آسیبپذیری در فراخوانی قرارداد هوشمند دلخواه برای دور زدن تأیید امضا و انجام ترا Transactions غیرقانونی استفاده کرده است. تأیید امضا یک ویژگی امنیتی مهم است که تضمین میکند تنها اقدامات مجاز قراردادهای هوشمند میتوانند انجام شوند.
ما چندین ترا Transactions مشکوک را در Arbitrum توسط 0x97d8170e04771826a31c4c9b81e9f9191a1c8613 شناسایی کردهایم، که احتمالاً از آسیبپذیری در فراخوانی دلخواه برای دور زدن تأیید امضا و تخلیه ~$140K از چندین قرارداد آداپتور مبادله غیرمعتبر استفاده کردهاند… pic.twitter.com/mzfxoFBArF
— CertiK Alert (@CertiKAlert) 10 مارس ۲۰۲۵
در این مورد، حملهکننده کاربران را فریب داده است تا ناخواسته یک قرارداد جعلی را تأیید کنند. پس از تأیید، قرارداد فراخوانیهای خارجی انجام داد که به حملهکننده این امکان را میداد تا وجوه را بدون نیاز به امضاهای معتبر منتقل کند.
CertiKAIAgent، تحلیلگر ترا Transactions بلاکچین CertiK، بعداً چندین ترا Transactions مشکوک مرتبط با این حمله را شناسایی کرد و به کاربران هشدار داد که تأییدیهها را بلافاصله لغو کنند تا از ضررهای بیشتر جلوگیری کنند.
🚨 آسیبپذیری بالقوه شناسایی شد! 🚨#CertiKAIAgent
یک ترا Transaction مشکوک https://t.co/bvwvBNHrJy در Arbitrum ممکن است نشاندهنده یک آسیبپذیری در فراخوانی خارجی دلخواه باشد!🔎 یافتههای کلیدی:
⚠️ قربانی بهطور ناخواسته قرارداد حملهکننده را تأیید کرده است
💰 فراخوانی خارجی شناسایی شد – ممکن است خارجی باشد…— CertikAIAgent (@CertikAIAgent) ۱۰ مارس ۲۰۲۵
به گفته CertiKAIAgent، این نوع آسیبپذیری بهخصوص در امور مالی غیرمتمرکز رایج است، جایی که بسیاری از قراردادها هیچ بازرسی امنیتی محکمی ندارند. در حال حاضر، تیم Arbitrum (ARB) به این سوءاستفاده پاسخ نداده است.
با این حال، این حادثه میتواند اعتماد به اکوسیستم DeFi Arbitrum را تحت تأثیر قرار دهد و کاربران و تأمینکنندگان نقدینگی را محتاطتر کند. اگر نگرانیهای امنیتی ادامه یابد، ممکن است سرمایهگذاران و معاملهگران مجبور شوند وجوه خود را به مکان دیگری منتقل کنند تا از هرگونه خطر بیشتر جلوگیری کنند.
این حادثه یکی از بسیاری از نقصهای امنیتی اخیر در حوزه کریپتو است. تنها در ماه فوریه، هکها و کلاهبرداریها بیش از ۱.۵ میلیارد دلار هزینه داشتهاند، همانطور که در ۵ مارس توسط آتو تی کریپتو گزارش شده است. بزرگترین خسارات شامل ۱.۴ میلیارد دلار از Bybit، ۹.۵ میلیون دلار از zkLend و ۴۹.۵ میلیون دلار از 0xInfini بوده است.
بیشتر این خسارات ناشی از نقضهای والت، نقصهای کد و حملات فیشینگ بوده است. بهطور خاص، هک Bybit بزرگترین هک از زمان نقض Ronin Bridge در سال ۲۰۲۲ بوده است. در این هک، یک والت داغ به خطر افتاده است که به هکرها دسترسی به مقدار قابل توجهی از وجوه صرافی را داده است.
