في 1 يونيو 2023، الساعة 10:07:55 (UTC+8)، تعرضت شبكة Cellframe لهجوم قرصنة على أحد سلاسل الكتل الذكية بسبب مشكلة في حساب عدد الرموز خلال عملية انتقال السيولة. وقد أسفر هذا الهجوم عن تحقيق القراصنة لأرباح تقدر بحوالي 76112 دولارًا.
تحليل الأحداث
استغل المهاجمون ثغرة حسابية في نقل السيولة. عملية الهجوم هي كما يلي:
يقوم المهاجم أولاً بالحصول على كمية كبيرة من الأموال من خلال قرض سريع، بما في ذلك 1000 من الرموز الأصلية لسلسلة معينة و500000 من رموز New Cell.
تحويل جميع رموز New Cell إلى رموز أصلية لشبكة معينة، مما يؤدي إلى اقتراب كمية الرموز الأصلية لتلك الشبكة في الحوض من الصفر.
تحويل 900 من رموز السلسلة الأصلية إلى رموز Old Cell.
قبل الهجوم، أضاف المهاجم السيولة ل Old Cell و رمز أصلي من سلسلة معينة، وحصل على Old lp.
استدعاء وظيفة نقل السيولة. في هذه المرحلة، لا يوجد تقريبًا أي رمز أصلي لسلسلة معينة في الحوض الجديد، ولا يوجد تقريبًا أي رمز Old Cell في الحوض القديم.
تشمل عملية النقل:
إزالة السيولة القديمة، إعادة الرموز إلى المستخدمين
أضف السيولة الجديدة حسب نسبة الحوض الجديد
نظرًا لقلة رموز Old Cell في التجمع القديم، يزداد عدد الرموز الأصلية لسلسلة معينة التي يتم الحصول عليها عند إزالة السيولة، بينما ينخفض عدد رموز Old Cell. وهذا يؤدي إلى أن المستخدم يحتاج فقط إلى إضافة كمية قليلة من الرموز الأصلية لسلسلة معينة ورموز New Cell للحصول على السيولة، بينما يتم إرجاع الرموز الأصلية الزائدة من السلسلة المعينة ورموز Old Cell إلى المستخدم.
يزيل المهاجم السيولة من بركة جديدة، ويقوم بتحويل رموز Old Cell المستردة إلى رموز أصلية على سلسلة معينة.
في هذه الحالة، تحتوي الرموز القديمة Old Cell في الحوض القديم على ما يكفي ولكن تفتقر إلى الرموز الأصلية لبعض السلاسل، وسيقوم المهاجم بتحويل رموز Old Cell مرة أخرى إلى الرموز الأصلية لبعض السلاسل لتحقيق الربح.
تنفيذ عملية النقل مرة أخرى.
ملخص وتوصيات
عند إجراء نقل السيولة، يجب مراعاة التغيرات في كمية الرموز المميزة في الأحواض القديمة والجديدة بالإضافة إلى أسعار الرموز المميزة الحالية. من السهل التلاعب بالحسابات إذا تم الاعتماد مباشرة على كميات الرموز المميزة في زوج التداول.
علاوة على ذلك، يجب على فريق المشروع إجراء تدقيق أمني شامل قبل إطلاق الكود، لمنع ظهور ثغرات مشابهة. تؤكد هذه الحادثة مرة أخرى على أهمية إجراء فحوصات أمنية شاملة في مشاريع Web3، خاصة عندما يتعلق الأمر بالعمليات المالية المعقدة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 11
أعجبني
11
7
إعادة النشر
مشاركة
تعليق
0/400
BakedCatFanboy
· 07-08 03:28
هل يجرؤ 7w على تسمية هذا هجومًا؟
شاهد النسخة الأصليةرد0
OptionWhisperer
· 07-07 13:57
هناك حقا يد في الهروب بأموال البغايا البيض
شاهد النسخة الأصليةرد0
CryptoWageSlave
· 07-07 03:51
الأمان مجرد نكتة
شاهد النسخة الأصليةرد0
CoconutWaterBoy
· 07-05 04:09
يُستغل بغباء يُستغل بغباء؟
شاهد النسخة الأصليةرد0
LuckyBearDrawer
· 07-05 04:00
هذا الهاكر غير محترف للغاية لم يتمكن حتى من الحصول على مئة ألف دولار
تعرضت شبكة Cellframe لهجوم من قبل هاكر على السيولة حيث حققوا أرباحاً بلغت 76,000 دولار أمريكي.
تحليل حدث هجوم نقل السيولة على شبكة Cellframe
في 1 يونيو 2023، الساعة 10:07:55 (UTC+8)، تعرضت شبكة Cellframe لهجوم قرصنة على أحد سلاسل الكتل الذكية بسبب مشكلة في حساب عدد الرموز خلال عملية انتقال السيولة. وقد أسفر هذا الهجوم عن تحقيق القراصنة لأرباح تقدر بحوالي 76112 دولارًا.
تحليل الأحداث
استغل المهاجمون ثغرة حسابية في نقل السيولة. عملية الهجوم هي كما يلي:
تشمل عملية النقل:
نظرًا لقلة رموز Old Cell في التجمع القديم، يزداد عدد الرموز الأصلية لسلسلة معينة التي يتم الحصول عليها عند إزالة السيولة، بينما ينخفض عدد رموز Old Cell. وهذا يؤدي إلى أن المستخدم يحتاج فقط إلى إضافة كمية قليلة من الرموز الأصلية لسلسلة معينة ورموز New Cell للحصول على السيولة، بينما يتم إرجاع الرموز الأصلية الزائدة من السلسلة المعينة ورموز Old Cell إلى المستخدم.
ملخص وتوصيات
عند إجراء نقل السيولة، يجب مراعاة التغيرات في كمية الرموز المميزة في الأحواض القديمة والجديدة بالإضافة إلى أسعار الرموز المميزة الحالية. من السهل التلاعب بالحسابات إذا تم الاعتماد مباشرة على كميات الرموز المميزة في زوج التداول.
علاوة على ذلك، يجب على فريق المشروع إجراء تدقيق أمني شامل قبل إطلاق الكود، لمنع ظهور ثغرات مشابهة. تؤكد هذه الحادثة مرة أخرى على أهمية إجراء فحوصات أمنية شاملة في مشاريع Web3، خاصة عندما يتعلق الأمر بالعمليات المالية المعقدة.