خسر بروتوكول DEFI MIM_SPELL أكثر من 6 ملايين دولار من قبل المتسلل

المصدر: Beosin

في 30 كانون الثاني (يناير) 2024 ، بتوقيت بكين ، وفقًا لمراقبة مخاطر أمان بيوسين ، شاشة مراقبة منصة الإنذار المبكر وحظرها ،تعرض بروتوكول DEFI MIM_SPELL للهجوم من قِبل قرض المتسللين البرق ، مما أدى إلى خسارة تزيد عن 6 ملايين دولار أمريكي.في الوقت الحاضر ، سيقوم المهاجم بتبادل الأموال المسروقة إلى ETH وتنقلها إلى عناوين المهاجمين.

تحليل الضعف

السبب الرئيسي لهذا الحادث هويستخدم المهاجم عقد حزب المشروع لاستخدام الخوارزمية التصاعدية والتحكم في المعلمة إلى 1. يتم استخدام الحد الأقصى لمكافحة الأخطاء التي سيتم تناولها إلى الأعلى ، مما سيؤدي إلى اختلالات في دفتر الأستاذ.

هناك وظيفتان في العقد ، هما الاقتراض والسداد ، إحداها هي اقتراض الأموال من العقد ، والآخر هو دفع العقد إلى العقد.

ستحدد وظيفة الاقتراض مقدار الاقتراض ، ويتم حساب قيمة الديون من خلال تحويل النسبة ، ويتم تحديث إجمالي قيمة الديون للمتصل.كما هو موضح في الشكل أدناه ، تستخدم خوارزمية إضافة العقد هنا لأعلى.

ستحدد وظيفة الاقتراض قيمة ديون السداد ، ويتم حساب مبلغ السداد من خلال التحويل النسبي ، ويتم نقل مبلغ السداد إلى العقد.كما هو موضح في الشكل أدناه ، لا تزال الخوارزمية الفرعية للعقد هنا تستخدم لأعلى.

فهم عملية الاقتراض والسداد ، دعونا نرى كيف يستخدم المتسللون الضعف.

سيطر المتسلل أولاً على المبلغ وقيمة الديون للعقد إلى 0 و 97 (سيتم تقديم كيفية التحكم في القسم التالي).

بعد ذلك ، لا يتم إيقاف وظائف الاقتراض والسداد ، وقيم الاقتراض والسداد هي 1. أخيرًا ، يتم التحكم في مقدار الاقتراض وقيمة الديون إلى 0 و 1200801838188886665215049728 ، مما يؤدي إلى عدم توافق خطير.

وفقًا لقواعد الكود أعلاه (مرنة = 0 ، قاعدة = 97) ، عندما يستدعي المهاجم الاقتراض مرة واحدة ويتم تمريره في 1 ، سيصبح دفتر الأستاذ مرنًا = 1 ، القاعدة = 98 (مرن هو 0 ، وسيزيد وفقًا إلى التزامن القيمة.

بعد ذلك ، يستدعي المهاجم وظيفة السداد 1 ، والاتصال بالوظيفة الفرعية.يمكن أن نرى أنه في هذا الوقت لم تتغير المرونة ، لكن القاعدة تتضاعف.

يستخدم المهاجم عدة طرق أعلاه لجلب المرونة = 0 ، قاعدة = 1200801838106866665215049728.استعارت في النهاية عقدًا مع أكثر من 5 ملايين ميم من خلال الاقتراض.

عملية الهجوم

فهم وظيفة الوظيفة ، دعنا نلقي نظرة على كيفية قيام المهاجم بالهجوم (إحدى المعاملات كمثال).

1. لقد استعار المهاجم لأول مرة 300000 ميم.

2. في وقت لاحق ، يستفسر المهاجم المبلغ وقيمة الديون في وظيفة رد الاتصال.

3. بعد ذلك ، قام المهاجم باستدعاء وظيفة RepayFrall ، وعاد 240،000 رمز مميز للتحكم في المرونة.

4.

5. ينشئ المهاجم عقدًا جديدًا ويتحكم في مقدار قيم الاقتراض والديون إلى 0 و 120080183818886665215049728 من خلال استئناف الاقتراض والسداد.

6. أخيرًا ، اقترض 5 ملايين MIM 5 ملايين ميم من خلال قرض الاقتراض وسداد البرق.

تتبع الصناديق

اعتبارًا من وقت الصحافة ، يتم تبادل الأموال المسروقة التي تزيد عن 6 ملايين دولار أمريكي من أجل ETH ، ولم يستمر عنوان القراصنة.

<-style-type>

  • Related Posts

    PUMP.FUN يرسل العملات المعدنية. هل هي فرصة أم حصاد؟

    جيسي ، رؤية Baitchain في 12 يوليو ، سيتم بيع مضخة Token Pump Fun بشكل علني. هذا البيع العام هو تعاون مع العديد من الشركات من الدرجة الثانية مثل Kucoin…

    السوق أفضل قليلاً ، على وشك أن يتم فتحه

    جيسي ، رؤية Baitchain وفقًا لوسائل التواصل الاجتماعي الرسمية لـ World Liberty Financial (WLFI) ، فإنها تقوم بتطوير وظيفة نقل رمزية. في منتصف يونيو من هذا العام ، كانت الأخبار…

    اترك تعليقاً

    لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

    You Missed

    تعقد لجنة الإشراف على الأصول والإدارة المملوكة للدولة في شنغهاي اجتماعًا دراسيًا حول العملة المشفرة و stablecoin

    • من jakiro
    • يوليو 11, 2025
    • 0 views
    تعقد لجنة الإشراف على الأصول والإدارة المملوكة للدولة في شنغهاي اجتماعًا دراسيًا حول العملة المشفرة و stablecoin

    ما وراء صيف Defi: هل سيقدم صيف Payfi قريبًا؟

    • من jakiro
    • يوليو 10, 2025
    • 3 views
    ما وراء صيف Defi: هل سيقدم صيف Payfi قريبًا؟

    PUMP.FUN يرسل العملات المعدنية. هل هي فرصة أم حصاد؟

    • من jakiro
    • يوليو 10, 2025
    • 2 views
    PUMP.FUN يرسل العملات المعدنية. هل هي فرصة أم حصاد؟

    ركز على قانون الوضوح: تحليل كامل للمحتوى والأهمية وتقييم الصناعة

    • من jakiro
    • يوليو 10, 2025
    • 7 views
    ركز على قانون الوضوح: تحليل كامل للمحتوى والأهمية وتقييم الصناعة

    رؤية Ethereum الجديدة

    • من jakiro
    • يوليو 9, 2025
    • 9 views
    رؤية Ethereum الجديدة

    أهم 10 أسباب أساسية ل Ethereum الصعودية

    • من jakiro
    • يوليو 8, 2025
    • 11 views
    أهم 10 أسباب أساسية ل Ethereum الصعودية
    Home
    News
    School
    Search