- الموضوع
6k درجة الشعبية
100k درجة الشعبية
17k درجة الشعبية
3k درجة الشعبية
29k درجة الشعبية
16k درجة الشعبية
23k درجة الشعبية
14k درجة الشعبية
3k درجة الشعبية
13k درجة الشعبية
- تثبيت
6k درجة الشعبية
100k درجة الشعبية
17k درجة الشعبية
3k درجة الشعبية
29k درجة الشعبية
16k درجة الشعبية
23k درجة الشعبية
14k درجة الشعبية
3k درجة الشعبية
13k درجة الشعبية
تعرضت شبكة Cellframe لهجوم القرض الفوري، مما أدى إلى خسائر قدرها 76,112 دولار بسبب ثغرة في نقل السيولة.
تحليل حادثة هجوم القرض الفوري على شبكة Cellframe
في 1 يونيو 2023 الساعة 10:07:55 (UTC+8)، تعرضت شبكة Cellframe لهجوم من قبل قراصنة بسبب مشكلة في حساب كمية الرموز خلال عملية نقل السيولة على سلسلة ذكية معينة. أدى هذا الهجوم إلى تحقيق القراصنة أرباحًا قدرها 76,112 دولارًا.
تفاصيل الهجوم
يستخدم القراصنة ميزة القروض السريعة للحصول على كميات كبيرة من الأموال والرموز، من خلال التلاعب بنسبة الرموز في تجمع السيولة لتنفيذ الهجوم. تشمل عملية الهجوم بشكل رئيسي الخطوات التالية:
الحصول على التمويل: من خلال القروض السريعة الحصول على 1000 من رموز سلسلة الأصلية و 500000 من رموز New Cell.
التلاعب في بركة السيولة: تحويل جميع رموز New Cell إلى الرموز الأصلية، مما يؤدي إلى اقتراب عدد الرموز الأصلية في البركة من الصفر. ثم استخدم 900 رمز أصلي لاستبدال رموز Old Cell.
إضافة السيولة: قبل الهجوم، قام القراصنة بإضافة السيولة إلى تجمع السيولة لـ Old Cell والرمز الأصلي، وحصلوا على Old lp.
تفعيل نقل السيولة: استدعاء وظيفة نقل السيولة. في هذه المرحلة، لا يوجد تقريبًا أي رموز أصلية في الحوض الجديد، ولا يوجد تقريبًا أي رموز Old Cell في الحوض القديم.
استغلال ثغرات حسابية: نظرًا لوجود عدد قليل جدًا من رموز Old Cell في المسبح القديم، فإن عدد الرموز الأصلية التي يتم الحصول عليها عند إزالة السيولة يزداد، بينما ينخفض عدد رموز Old Cell. وهذا يؤدي إلى أن المستخدمين يحتاجون فقط إلى إضافة عدد قليل من الرموز الأصلية ورموز New Cell للحصول على السيولة، بينما يتم إرجاع الرموز الزائدة للمستخدم.
إكمال الهجوم: يقوم القراصنة بإزالة السيولة من المسبح الجديد، وتحويل الرموز القديمة المسترجعة إلى الرموز الأصلية. بعد ذلك، يستفيدون من وجود كمية كبيرة من الرموز القديمة في المسبح القديم ولكن نقص في الرموز الأصلية، ويقومون بتحويل الرموز القديمة مرة أخرى إلى الرموز الأصلية، مما يحقق الربح.
أسباب الثغرات وتوصيات الوقاية
السبب الجذري لهذا الهجوم هو مشكلة حسابية خلال عملية نقل السيولة. استغل المهاجم نسبة الرموز في الحوض من خلال التلاعب بها، واستفاد من الثغرة الحسابية في دالة النقل.
لتجنب الهجمات المماثلة، يُنصح باتخاذ التدابير التالية:
الاعتبار الشامل: عند نقل السيولة، يجب أخذ التغيرات في كمية الرمزين في البركتين القديمة والجديدة في الاعتبار بالإضافة إلى أسعار الرموز الحالية.
تجنب الحسابات البسيطة: لا ينبغي الاعتماد فقط على عدد العملتين في زوج التداول لإجراء حسابات مباشرة، حيث يمكن للمهاجمين التلاعب بذلك.
تدقيق الأمان: قبل نشر الشيفرة، من الضروري إجراء تدقيق أمان شامل وصارم للكشف عن وإصلاح الثغرات المحتملة.
تؤكد هذه الحادثة مرة أخرى على أهمية الأمان والصلابة عند تصميم وتنفيذ العمليات المالية المعقدة. يجب على الجهة المسؤولة عن المشروع أن تظل يقظة في جميع الأوقات، وأن تستمر في تحسين تدابير الأمان الخاصة بها.