قراصنة القبعة البيضاء يمنحون 400 إيثريوم لإنقاذ التحكيم

JAKARTA - يقال إن Arbitrum ، وهو حل Layer 2 لشبكة Ethereum ، كان متورطا مع قراصنة قبعة بيضاء يعرفون باسم Riptide على Twitter. تمكن المخترق من العثور على خطأ في رمز Arbitrum. بسبب النتائج ، كافأت Arbitrum Riptide ب 400 Ethereum (ETH) والتي تبلغ قيمتها حوالي 560،000 دولار أمريكي (أي ما يعادل 8.4 مليار روبية إندونيسية).

في 19 سبتمبر ، دفعت Arbitrum 400 ETH للمتسللين الذين اكتشفوا ثغرة أمنية محتملة في شفرتها. تمكنت Riptide من العثور على نقاط ضعف في العقود الذكية المكتوبة في Solidity Arbitrum. وذكر المخترق أن الثغرة الأمنية التي تبلغ قيمتها ملايين الدولارات يمكن أن تسمح للمستخدمين بتبادل أو مبادلة الأموال من Ethereum إلى Arbitrum Nitro.

قام المتسللون بمسح شفرة Arbitrum Nitro بدقة قبل أسابيع من إصدارها ، والتحقق من العقود حتى يتمكنوا من "معرفة ما إذا كان التحديث ناجحا".

بعد الترقية ، لاحظ Riptide بعض الأخطاء التي منعت الرابط أو الجسر من العمل بشكل صحيح. عند إجراء مزيد من الفحص ، لاحظ Riptide أن جهاز تسلسل البريد الوارد الخاص بجهاز التسلسل قد تأخر.

"يمكن للعميل إرسال رسائل إلى المتسلسل عن طريق توقيع وإصدار معاملات L1 في علبة الوارد المتأخرة لشبكة Arbitrum. غالبا ما تستخدم هذه الوظيفة لإيداع ETH أو الرموز المميزة عبر الجسور "، قال Riptide في تغريدة.

بعد إجراء إعادة الفحص ، كشفت Riptide أن نتائج الخطأ يمكن أن تعرض الشبكة لنقاط ضعف شديدة. إذا تم اكتشاف ذلك من قبل قراصنة ضارين ، فيمكنه كسب ملايين الدولارات عن طريق تحويل ودائع ETH الواردة من جسور L1 إلى L2 إلى محافظهم دون اكتشافها.

"خطي في المكافآت يكتب عن ثغرة أمنية خطيرة اكتشفتها في Arbitrum Nitro تسمح للمهاجمين بسرقة جميع رواسب ETH التي تدخل في جسور L1->L2" ، كتب Riptide في منشور على Twitter ، في 20 سبتمبر 2022.

ومع ذلك ، فإن Riptide هو هاكر من الدرجة الجيدة يعرف باسم القبعة البيضاء. أبلغ عن الضعف إلى Arbitrum وتقدم بطلب للحصول على مكافأة بدلا من ذلك. ومع ذلك ، أعطت Arbitrum بشكل مفاجئ مكافأة قدرها 400 ETH ، وليس جائزة 2 مليون دولار أمريكي التي قدمتها Arbitrum كأعلى جائزة لها. بعد تلقي المكافأة ، جادل Riptide بأنه لا يتماشى مع أهمية الخطأ والمخاطر التي ينطوي عليها.

"وجهة نظري هي إذا قمت بنشر مكافأة بقيمة 2 مليون دولار - كن مستعدا لدفعها إذا كان هناك ما يبررها. إذا لم يكن الأمر كذلك ، فما عليك سوى قول أن الحد الأقصى للمكافأة هو 400 ETH والعمل عليه. يرى المتسللون المشاريع التي تدفع وأيها لا تدفع. لا أعتقد أنها فكرة جيدة لتحفيز القبعات البيضاء لتصبح قبعات سوداء" ، قال ريبتيد في منشور على تويتر.

على عكس قراصنة القبعات البيضاء الذين لديهم دوافع جيدة ، فإن قراصنة القبعات السوداء هم قراصنة يخدعون أنظمة الكمبيوتر بدوافع شريرة. وفقا لبيان Riptide ، فإن الدفع له لم يكن يستحق كل هذا العناء لأن الشركة أعلنت أنها ستمنح جائزة قدرها 2 مليون دولار.