في 22 مايو ، حدث شيء مثير للقلق في عالم سوي بلوكشين. انخفضت الأسعار على البورصة اللامركزية Cetus (DEX) فجأة ، واستنزفت تجمعات السيولة. بلغ إجمالي الخسارة المقدرة أكثر من 230 مليون دولار.
وذلك عندما تدخل فريق Slowmist ، فريق أمن blockchain المعروف ، وأطلق تحليلًا لما اكتشفوه كان مروعًا وتقنيًا.
ما هي المشكلة الحقيقية؟
وفقا ل Slowmist تحليل الغوص العميق، كان جوهر المشكلة هو ضعف رمز العقد الذكي لـ CETUS ، على وجه التحديد ، وظيفة تسمى checked_shlw التي فشلت في اكتشاف تدفق فائض في وظيفة أخرى تدعى get_delta_a.
الآن ، ماذا يعني في الواقع بعبارات بسيطة؟
تسبب هذا الخطأ في حساب كميات الرمز المميز بشكل غير صحيح. لم يدرك ذلك عندما أصبحت الأرقام كبيرة جدًا ، لذلك افترض أن المهاجم كان يضيف كمية كبيرة من السيولة ، في الواقع ، أضافوا رمزًا واحدًا فقط.
أعطى هذا العيب الصغير المهاجم فرصة هائلة.
كيف استغل المهاجم
إليكم كيف نفذ المهاجم الاستغلال ، خطوة بخطوة:
مشغل قرض فلاش: استعار المهاجم أكثر من 10 ملايين رمز Hasui باستخدام قرض فلاش. تسببت هذه الخطوة في انخفاض سعر الرمز المميز في المجمع بنسبة 99.9 ٪.
إعداد الخدعة: ثم قاموا بإنشاء موضع سيولة ضيقة للغاية – نافذة صغيرة في النطاق السعري – مما جعل النظام يعتقد أنه تم إضافة كمية كبيرة من السيولة.
الاستغلال: باستخدام عيب الفائض ، زعموا أنها تضيف تريليونات من السيولة ، لكنهم قدموا رمزًا واحدًا فقط. العقد لم يمسك عدم التطابق.
صرف الخروج: قام المهاجم بإزالة السيولة المزيفة في ثلاث مراحل وسداد قرض الفلاش.
ربح ضخم: لقد ابتعدوا مع 10 ملايين Hasui و 5.7 مليون Sui ، دون استثمار حقيقي تقريبًا.
تحذير بطيء لمطوري Defi
يوضح هذا الحادث كيف يمكن أن يؤدي خطأ الترميز الصغير إلى خسائر مالية ضخمة ، وخاصة في منصات Defi حيث تدير العقود الذكية كل شيء.
وفقًا لـ Slowmist ، إذا لم تكتشف وظيفة مهمة مثل checked_shlw بشكل صحيح أخطاء مثل الفائض ، فيمكن للمهاجمين كسر منطق النظام بالكامل.
يحذر Slowmist جميع مطوري Defi من التحقق من وظائف الرياضيات الخاصة بهم ، وخاصة في المجالات التي تنطوي على حسابات رمزية وصيغ السيولة. كان خط الكود الذي لم يتم التحقق منه هو كل ما يتطلبه الأمر للسماح لشخص ما بالابتعاد بالملايين.
-
-
-
-
