A empresa de segurança da Blockchain Certik identificou uma violação de segurança para o Arbitrum. Em Arbitrum, um atacante explorou o desvio de verificação de assinatura para drenar cerca de US $ 140.000.
Em 10 de março, às 04:06 UTC, o Certik Alert relatou sobre X que um invasor provavelmente usou uma vulnerabilidade arbitrária de chamada de contrato inteligente volátil para ignorar a verificação da assinatura e realizar transações ilegais. A verificação da assinatura é um importante recurso de segurança que garante que apenas ações de contrato inteligentes permitidas possam ser executadas.
https://twitter.com/certikalert/status/1898933348069933537?s=46&t = nznxks3debx8jihnzhmzw
Neste exemplo, o invasor enganou o usuário para aprovar inconscientemente o contrato fraudulento. Após a aprovação, o contrato fez uma chamada externa, dando ao invasor a capacidade de mover os fundos sem a necessidade de uma assinatura válida.
O agente de análise de transações blockchain da Certik, Certikaigent, mais tarde sinalizou várias transações suspeitas relacionadas ao ataque, alertando os usuários a revogar imediatamente sua aprovação para evitar mais perdas.
https://twitter.com/Certikaiagent/status/1898934861693608212?s=46&t = nznxks3Debx8Jihnzhmzw
De acordo com a Certikaiagent, esse tipo de vulnerabilidade é particularmente comum em finanças descentralizadas, onde muitos contratos não têm verificações de segurança robustas. Atualmente, a equipe de Arbitrum (ARB) não é explorada.
No entanto, poderia abalar a confiança do Arbitrum no ecossistema Defi e tornar os usuários e os provedores de liquidez mais cautelosos. Se as preocupações com a segurança continuarem, investidores e comerciantes podem ser incentivados a transferir fundos em outros lugares para evitar mais riscos.
Este incidente é uma das muitas violações recentes de segurança de criptografia. Somente em fevereiro, conforme relatado pela Crypto.News em 5 de março, o custo de hackers e fraude excedeu US $ 1,5 bilhão. As três maiores perdas foram de US $ 1,4 bilhão de bybit, US $ 9,5 milhões da ZKLEND e US $ 49,5 milhões de 0xinfini.
A maioria dessas perdas foi causada por violações da carteira, defeitos de código e ataques de phishing. Em particular, o hack de bybit foi o maior desde a violação de 2022 da Ronin Bridge. Neste hack, a carteira quente foi comprometida, dando aos hackers acesso a uma quantidade considerável de fundos de câmbio.
