في 1 يونيو 2023 الساعة 10:07:55 صباحًا، تعرضت شبكة Cellframe على سلسلة BSC لهجوم قراصنة بسبب مشكلة حساب الرموز خلال عملية نقل السيولة. أسفر هذا الهجوم عن خسارة تبلغ حوالي 76,112 دولار.
تفاصيل الهجوم
نفذ المهاجم الهجوم من خلال الخطوات التالية:
استغلال القروض السريعة للحصول على 1000 BNB و 500000 رمز New Cell
تحويل جميع رموز New Cell إلى BNB، مما أدى إلى اقتراب نفاد BNB في المسبح
استبدال 900 BNB بعملة Old Cell
إضافة سيولة Old Cell و BNB قبل الهجوم للحصول على Old lp
استدعاء دالة نقل السيولة
خلال الهجوم، كان هناك القليل جدًا من BNB في المجموعة الجديدة، بينما كانت هناك القليل جدًا من رموز Old Cell في المجموعة القديمة. هذه الحالة أدت إلى زيادة عدد BNB المكتسبة عند إزالة السيولة القديمة، بينما انخفض عدد رموز Old Cell.
تشمل عملية نقل السيولة:
إزالة السيولة القديمة، وإرجاع الرموز للمستخدمين
إضافة سيولة جديدة وفقًا لنسبة بركة جديدة
بسبب التلاعب في نسبة التجمع، يحتاج المهاجم فقط إلى إضافة كمية صغيرة من BNB و New Cell للحصول على السيولة، بينما يتم إرجاع BNB الزائد و Old Cell.
أخيرًا، يقوم المهاجم بإزالة سيولة التجمع الجديد، ويقوم بتحويل رموز Old Cell المستردة إلى BNB، ويكمل الربح. ثم يكرر عملية النقل.
سبب الثغرة
هناك مشكلة في حساب عدد الرموز أثناء عملية نقل السيولة. يعد استخدام عدد الرمزين في زوج التداول مباشرةً أمرًا سهلًا للتلاعب الخبيث.
نصائح الأمان
عند نقل السيولة، يجب مراعاة التغيرات في كميات الرموز في كل من المسبح القديم والجديد بالإضافة إلى أسعار الرموز الحالية.
تجنب الاعتماد فقط على عدد الرموز في زوج التداول لإجراء الحسابات، فهذه الطريقة سهلة التلاعب بها.
قبل نشر الكود، يجب إجراء تدقيق أمني شامل لاكتشاف وإصلاح الثغرات المحتملة.
تؤكد هذه الحادثة مرة أخرى على أهمية تنفيذ تدابير أمان صارمة في مشاريع DeFi، خاصة عند التعامل مع عمليات معقدة مثل نقل السيولة. يجب على فريق المشروع أن يظل يقظًا بشأن مشكلات الأمان، ويقوم بإجراء تدقيقات منتظمة للكود، ويضع آليات فعالة لإدارة المخاطر.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تعرضت شبكة Cellframe لهجوم القرض الفوري مما أدى إلى خسائر بقيمة 76,000 دولار أمريكي
تحليل حادثة هجوم القرض الفوري على شبكة Cellframe
في 1 يونيو 2023 الساعة 10:07:55 صباحًا، تعرضت شبكة Cellframe على سلسلة BSC لهجوم قراصنة بسبب مشكلة حساب الرموز خلال عملية نقل السيولة. أسفر هذا الهجوم عن خسارة تبلغ حوالي 76,112 دولار.
تفاصيل الهجوم
نفذ المهاجم الهجوم من خلال الخطوات التالية:
خلال الهجوم، كان هناك القليل جدًا من BNB في المجموعة الجديدة، بينما كانت هناك القليل جدًا من رموز Old Cell في المجموعة القديمة. هذه الحالة أدت إلى زيادة عدد BNB المكتسبة عند إزالة السيولة القديمة، بينما انخفض عدد رموز Old Cell.
تشمل عملية نقل السيولة:
بسبب التلاعب في نسبة التجمع، يحتاج المهاجم فقط إلى إضافة كمية صغيرة من BNB و New Cell للحصول على السيولة، بينما يتم إرجاع BNB الزائد و Old Cell.
أخيرًا، يقوم المهاجم بإزالة سيولة التجمع الجديد، ويقوم بتحويل رموز Old Cell المستردة إلى BNB، ويكمل الربح. ثم يكرر عملية النقل.
سبب الثغرة
هناك مشكلة في حساب عدد الرموز أثناء عملية نقل السيولة. يعد استخدام عدد الرمزين في زوج التداول مباشرةً أمرًا سهلًا للتلاعب الخبيث.
نصائح الأمان
عند نقل السيولة، يجب مراعاة التغيرات في كميات الرموز في كل من المسبح القديم والجديد بالإضافة إلى أسعار الرموز الحالية.
تجنب الاعتماد فقط على عدد الرموز في زوج التداول لإجراء الحسابات، فهذه الطريقة سهلة التلاعب بها.
قبل نشر الكود، يجب إجراء تدقيق أمني شامل لاكتشاف وإصلاح الثغرات المحتملة.
تؤكد هذه الحادثة مرة أخرى على أهمية تنفيذ تدابير أمان صارمة في مشاريع DeFi، خاصة عند التعامل مع عمليات معقدة مثل نقل السيولة. يجب على فريق المشروع أن يظل يقظًا بشأن مشكلات الأمان، ويقوم بإجراء تدقيقات منتظمة للكود، ويضع آليات فعالة لإدارة المخاطر.