في 1 يونيو 2023 الساعة 10:07:55 (UTC+8)، تعرضت شبكة Cellframe لهجوم من قبل قراصنة على منصة سلسلة ذكية معينة بسبب مشكلة في حساب عدد الرموز خلال عملية نقل السيولة. وقد أسفر هذا الهجوم عن تحقيق القراصنة لأرباح تبلغ حوالي 76,112 دولار.
تفاصيل الهجوم
استفاد المهاجمون أولاً من القروض السريعة للحصول على 1000 من الرموز الأصلية لمنصة سلاسل ذكية معينة و500000 من رموز New Cell. بعد ذلك، قاموا بتحويل جميع رموز New Cell إلى الرموز الأصلية لتلك المنصة، مما أدى إلى انخفاض كمية الرموز الأصلية في حوض السيولة إلى ما يقرب من الصفر. أخيراً، قام المهاجمون بتبديل 900 من الرموز الأصلية إلى رموز Old Cell.
من الجدير بالذكر أن المهاجمين أضافوا السيولة من Old Cell والرموز الأصلية قبل تنفيذ الهجوم، وحصلوا على رموز lp القديمة.
عملية الهجوم
يقوم المهاجم باستدعاء دالة نقل السيولة. في هذه المرحلة، لا يوجد تقريباً أي رموز أصلية في المسبح الجديد، بينما لا يوجد تقريباً أي رموز Old Cell في المسبح القديم.
تشمل عملية الانتقال: إزالة السيولة القديمة وإرجاع الكمية المقابلة من الرموز للمستخدمين؛ إضافة سيولة جديدة وفقاً لنسبة المسبح الجديد.
نظرًا لعدم وجود رموز Old Cell تقريبًا في الحوض القديم، تزداد كمية الرموز الأصلية المستلمة عند إزالة السيولة، بينما تنخفض كمية رموز Old Cell.
يحتاج المستخدم فقط لإضافة كمية صغيرة من الرموز الأصلية ورموز New Cell للحصول على السيولة، وسيتم إعادة الرموز الأصلية الزائدة ورموز Old Cell إلى المستخدم.
يقوم المهاجم بإزالة السيولة من المسبح الجديد، ويقوم بتبادل رموز Old Cell العائدة إلى الرموز الأصلية.
في هذه الحالة، يوجد في الحوض القديم الكثير من رموز Old Cell ولكن لا يوجد رموز أصلية، سيقوم المهاجم بإعادة تبادل رموز Old Cell إلى رموز أصلية، وبالتالي يكمل الربح.
يقوم المهاجم بإجراء عمليات نقل متكررة لتحقيق مزيد من الأرباح.
ملخص وتوصيات
هذا الهجوم كشف عن مشكلة رئيسية أثناء نقل السيولة: من السهل التلاعب بالحسابات عند استخدام كميات الرمزين في زوج التداول مباشرة. لمنع هجمات مماثلة، يجب على المطورين عند تصميم آلية نقل السيولة أن:
أخذ في الاعتبار التغيرات في عدد الرموز المميزة في الحوضين القديم والجديد.
أخذ سعر الرمز الحالي في الاعتبار.
إجراء تدقيق أمني شامل قبل إطلاق الشفرة.
تؤكد هذه الحدث مرة أخرى على أهمية الأمان وتدقيق الشفرات في مجال التمويل اللامركزي. يجب على الفرق المشروع أن تكون أكثر حذراً في تصميم وتنفيذ الوظائف الأساسية، خاصة تلك المتعلقة بتدفق الأموال. في الوقت نفسه، يجب على المستخدمين أن يدركوا المخاطر التي قد تواجههم عند المشاركة في مشاريع جديدة وأن يتخذوا التدابير الوقائية المناسبة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تعرضت شبكة Cellframe لهجوم القرض الفوري، هاكر المراجحة 76,000 دولار أمريكي
تحليل حادثة هجوم القرض الفوري على شبكة Cellframe
في 1 يونيو 2023 الساعة 10:07:55 (UTC+8)، تعرضت شبكة Cellframe لهجوم من قبل قراصنة على منصة سلسلة ذكية معينة بسبب مشكلة في حساب عدد الرموز خلال عملية نقل السيولة. وقد أسفر هذا الهجوم عن تحقيق القراصنة لأرباح تبلغ حوالي 76,112 دولار.
تفاصيل الهجوم
استفاد المهاجمون أولاً من القروض السريعة للحصول على 1000 من الرموز الأصلية لمنصة سلاسل ذكية معينة و500000 من رموز New Cell. بعد ذلك، قاموا بتحويل جميع رموز New Cell إلى الرموز الأصلية لتلك المنصة، مما أدى إلى انخفاض كمية الرموز الأصلية في حوض السيولة إلى ما يقرب من الصفر. أخيراً، قام المهاجمون بتبديل 900 من الرموز الأصلية إلى رموز Old Cell.
من الجدير بالذكر أن المهاجمين أضافوا السيولة من Old Cell والرموز الأصلية قبل تنفيذ الهجوم، وحصلوا على رموز lp القديمة.
عملية الهجوم
يقوم المهاجم باستدعاء دالة نقل السيولة. في هذه المرحلة، لا يوجد تقريباً أي رموز أصلية في المسبح الجديد، بينما لا يوجد تقريباً أي رموز Old Cell في المسبح القديم.
تشمل عملية الانتقال: إزالة السيولة القديمة وإرجاع الكمية المقابلة من الرموز للمستخدمين؛ إضافة سيولة جديدة وفقاً لنسبة المسبح الجديد.
نظرًا لعدم وجود رموز Old Cell تقريبًا في الحوض القديم، تزداد كمية الرموز الأصلية المستلمة عند إزالة السيولة، بينما تنخفض كمية رموز Old Cell.
يحتاج المستخدم فقط لإضافة كمية صغيرة من الرموز الأصلية ورموز New Cell للحصول على السيولة، وسيتم إعادة الرموز الأصلية الزائدة ورموز Old Cell إلى المستخدم.
يقوم المهاجم بإزالة السيولة من المسبح الجديد، ويقوم بتبادل رموز Old Cell العائدة إلى الرموز الأصلية.
في هذه الحالة، يوجد في الحوض القديم الكثير من رموز Old Cell ولكن لا يوجد رموز أصلية، سيقوم المهاجم بإعادة تبادل رموز Old Cell إلى رموز أصلية، وبالتالي يكمل الربح.
يقوم المهاجم بإجراء عمليات نقل متكررة لتحقيق مزيد من الأرباح.
ملخص وتوصيات
هذا الهجوم كشف عن مشكلة رئيسية أثناء نقل السيولة: من السهل التلاعب بالحسابات عند استخدام كميات الرمزين في زوج التداول مباشرة. لمنع هجمات مماثلة، يجب على المطورين عند تصميم آلية نقل السيولة أن:
تؤكد هذه الحدث مرة أخرى على أهمية الأمان وتدقيق الشفرات في مجال التمويل اللامركزي. يجب على الفرق المشروع أن تكون أكثر حذراً في تصميم وتنفيذ الوظائف الأساسية، خاصة تلك المتعلقة بتدفق الأموال. في الوقت نفسه، يجب على المستخدمين أن يدركوا المخاطر التي قد تواجههم عند المشاركة في مشاريع جديدة وأن يتخذوا التدابير الوقائية المناسبة.