- الموضوع
72k درجة الشعبية
27k درجة الشعبية
9k درجة الشعبية
4k درجة الشعبية
4k درجة الشعبية
29k درجة الشعبية
16k درجة الشعبية
22k درجة الشعبية
12k درجة الشعبية
2k درجة الشعبية
- تثبيت
72k درجة الشعبية
27k درجة الشعبية
9k درجة الشعبية
4k درجة الشعبية
4k درجة الشعبية
29k درجة الشعبية
16k درجة الشعبية
22k درجة الشعبية
12k درجة الشعبية
2k درجة الشعبية
تعرضت شبكة Cellframe لهجوم القرض الفوري وحقق هاكر ربحًا قدره 76,000 دولار أمريكي
تحليل حادثة هجوم القرض الفوري على شبكة Cellframe
في 1 يونيو 2023 الساعة 10:07:55 (UTC+8)، تعرضت شبكة Cellframe لهجوم هاكر بسبب مشكلة حساب عدد الرموز أثناء عملية نقل السيولة على سلسلة ذكية معينة. وورد أن الهاكر حقق ربحًا قدره 76,112 دولارًا من هذا الهجوم.
تحليل عملية الهجوم
اكتسب المهاجم أولاً 1000 من الرموز الأصلية لسلسلة ذكية معينة و500000 من رموز New Cell من خلال القروض السريعة. بعد ذلك، قام المهاجم بتحويل جميع رموز New Cell إلى رموز أصلية، مما أدى إلى تقارب عدد الرموز الأصلية في حوض التداول إلى الصفر. أخيرًا، استخدم المهاجم 900 رمز أصلي لتحويلها إلى رموز Old Cell.
من المهم ملاحظة أن المهاجمين قاموا بإضافة السيولة لـ Old Cell والرموز الأصلية قبل بدء الهجوم، مما حصلوا على رموز Old lp.
بعد ذلك، قام المهاجم باستدعاء دالة نقل السيولة. في هذه المرحلة، كان في الحوض الجديد القليل جداً من الرموز الأصلية، بينما كان في الحوض القديم القليل جداً من رموز Old Cell. تتضمن عملية النقل الخطوات التالية:
نظرًا لعدم وجود رموز Old Cell تقريبًا في الخزان القديم، تزداد كمية الرموز الأصلية المستلمة عند إزالة السيولة، بينما تنخفض كمية رموز Old Cell. وهذا يؤدي إلى أن المستخدمين يحتاجون فقط إلى إضافة كمية قليلة من الرموز الأصلية و رموز New Cell للحصول على السيولة، بينما يتم إرجاع الرموز الأصلية الزائدة و رموز Old Cell إلى المستخدم.
أخيرًا، يقوم المهاجم بإزالة السيولة من المسبح الجديد، ويقوم بتحويل رموز Old Cell التي تم إرجاعها إلى رموز أصلية. في هذه المرحلة، يحتوي المسبح القديم على كمية كبيرة من رموز Old Cell ولكن لا يحتوي على رموز أصلية، يقوم المهاجم بتحويل رموز Old Cell مرة أخرى إلى رموز أصلية، مما يحقق الربح. ثم يقوم المهاجم بتكرار عملية الانتقال، مما يزيد من العائد.
السبب الجذري للهجوم
السبب الجذري لهذا الهجوم يكمن في مشكلة الحساب خلال عملية نقل السيولة. أثناء نقل السيولة، يقوم فريق المشروع بحساب كمية العملتين في زوج التداول بشكل مباشر، مما يسهل على المهاجمين التلاعب بهذه الطريقة.
نصائح الأمان
عند نقل السيولة، يجب أخذ التغيرات في كميات الرمزين في المسبحين القديم والجديد في الاعتبار بالإضافة إلى أسعار الرموز الحالية، وليس مجرد حساب كميات الرموز.
قبل إطلاق الكود، يجب إجراء تدقيق أمني شامل لاكتشاف وإصلاح الثغرات المحتملة.
تذكّرنا هذه الحادثة مرة أخرى بأنه عند تصميم وتنفيذ عمليات مالية معقدة، يجب أن نولي اهتمامًا خاصًا للأمان والموثوقية، لتجنب استغلال الهجمات والثغرات المحتملة.