يستنزف القراصنة أكثر من 20 مليون دولار في أحدث استغلال
تم اختراق Popsicle Finance، وهو تطبيق تمويل لامركزي عبر السلاسل وصانع السوق، في هجوم إلكتروني أمس مما أدى إلى استنزاف 20.7 مليون دولار من أحد مجمعات السيولة الخاصة به. حصل المتسلل على أكثر من 20 مليون دولار من رموز العملات المشفرة المختلفة، بما في ذلك حوالي 10 ملايين دولار من USDC وUSDT. وفقًا لإعلان صدر يوم الأربعاء 4 أغسطس، أثرت الثغرة على مجموعة أدوات تحسين UniswapV3 الخاصة بشركة Popsicle بينما لم تتأثر العقود الأخرى.
مثل أي قصة مأساوية جيدة، بدأت الأمور بسلاسة. انتقل البروتوكول مؤخرًا إلى تويتر للاحتفال بإطلاق مجمع Sorbetto (UniswapV3) الخاص به معلنًا أنه حصل على مليون دولار كرسوم لمزودي السيولة. بالإضافة إلى الإعلان عن وصولهم إلى معلما 30 مليون دولار في القيمة الإجمالية مقفلة في ثلاثة أيام فقط.
تقدم سريعًا لمدة أسبوع، وتروي خلاصة Twitter قصة مختلفة تمامًا. علاوة على ذلك، بعد الإعلان، انخفض سعر رمز ICE الأصلي للمنصة بأكثر من 55%. ومع ذلك، يبدو الآن أنه في مرحلة التعافي.
ماذا حدث؟
مونديت غوبتا، عضو في فريق أمان SushiSwap انتقل إلى تويتر لشرح في موضوع مفصل ما حدث مع ادعاء قوي أنه على الرغم من أن الاختراق كان معقدًا، إلا أن الخطأ في النظام كان بسيطًا. وعلاوة على ذلك، يمكن تجنبها. باختصار، لا يقوم Popsicle Finance بتحويل دين المكافأة عندما يقوم المستخدمون بنقل أسهمهم. ويكشف هذا عن العديد من عمليات الاستغلال، وقد تم استخدام إحداها. الخطأ الرئيسي هو أن هذه المتغيرات لا يتم تحديثها عندما يقوم المستخدم بنقل حصته إلى عنوان مختلف. العنوان الجديد مؤهل للمطالبة بالمكافآت اعتبارًا من اليوم صفر بدلاً من الوقت الذي قام فيه المستخدم بإيداع الرموز المميزة الخاصة به. وهذا ما فعله المهاجم
ومضى Mundit ليوضح كذلك أن هذا الخطأ يسمح أيضًا للمستخدم بالاستمرار في نقل الأسهم والمطالبة بمكافآت لنفس الأسهم عدة مرات باستخدام حسابات مختلفة. بشكل عام، يُشير إلى أنه على الرغم من أن هذا خطأ بسيط نسبيًا، إلا أنه شائع بشكل مدهش وأنه كان ينبغي للمطورين أو المدققين اكتشاف ذلك في المراجعات. والأسوأ من ذلك كله بالنسبة لمونديت والأطراف المتضررة أن هذه ليست المرة الأولى التي يلفت فيها الانتباه إلى هذا الخلل في النظام.
ويبدو أنه بدلاً من الاستجابة لتحذيره من قبل المطورين، ربما يكون ذلك قد حفز المتسللين على اكتشاف المزيد من الفرص حيث يكون هذا الخطأ مخفيًا.
لوضع هذه الثغرات في منظورها الصحيح، من المفيد دائمًا أن نتذكر أن عالم التبادلات اللامركزية والتمويل اللامركزي عمره بضع سنوات فقط. في حين أن البورصة اللامركزية الأكثر كفاءة من حيث رأس المال، Uniswap V3، تم إطلاقها قبل 3 أشهر فقط. يتطور التمويل اللامركزي (DeFi) وبالتالي يقدم فرصًا لأولئك الذين لديهم المعرفة. من الواضح أن هذا ليس أول استغلال كبير لعام 2021 ونحن على يقين من أنه لن يكون الأخير. ولعل الأمر الأكثر أهمية هو كيفية تعامل Popsicle مع عواقب وأي تعويضات.
ما ورد أعلاه لا يشكل نصيحة استثمارية. المعلومات الواردة هنا هي لأغراض إعلامية بحتة. يرجى ممارسة العناية الواجبة وإجراء البحوث الخاصة بك. يشغل الكاتب مناصب في ETH و BTC و ADA و NIOX و AGIX و MANA و SAFEMOON و SDAO و CAKE و HEX و LINK و GRT و CRO و SHIBA INU و OCEAN.
.mailchimp_widget {
مواءمة النصوص: المركز؛
الهامش: 30 بكسل تلقائي! مهم ؛
عرض: المرن.
دائرة نصف قطرها الحدود: 10px ؛
إخفاء الفائض؛
التفاف المرن: التفاف.
}
.mailchimp_widget__visual img {
max-width: 100٪؛
الطول: 70px؛
عامل التصفية: الظل المسقط (3 بكسل 5 بكسل 10 بكسل rgba (0 ، 0 ، 0 ، 0.5)) ؛
}
.mailchimp_widget__visual {
الخلفية: # 006cff ؛
المرن: 1 1 0 ؛
الحشو: 20px.
محاذاة البنود: مركز.
تبرير المحتوى: المركز ؛
عرض: المرن.
فليكس الاتجاه: العمود.
اللون: #fff ؛
}
.mailchimp_widget__content {
الحشو: 20px.
المرن: 3 1 0 ؛
الخلفية: # f7f7f7 ؛
مواءمة النصوص: المركز؛
}
.mailchimp_widget__content تصنيف {
فونت-سيز: شنومكسبس؛
}
.mailchimp_widget__content input [type = ”text”] ،
.mailchimp_widget__content input [type = ”email”] {
حشوة: 0 ؛
الحشوة إلى اليسار: 10px؛
دائرة نصف قطرها الحدود: 5px ؛
ظل الصندوق: لا شيء ؛
الحدود: الصلبة # CCC 1px؛
خط الطول: 24px؛
الطول: 30px؛
فونت-سيز: شنومكسبس؛
الهامش السفلي: 10 بكسل! مهم ؛
أعلى الهامش: 10 بكسل! مهم ؛
}
.mailchimp_widget__content input [type = ”submit”] {
الحشو: 0! مهم؛
فونت-سيز: شنومكسبس؛
خط الطول: 24px؛
الطول: 30px؛
الهامش الأيسر: 10 بكسل! مهم ؛
دائرة نصف قطرها الحدود: 5px ؛
الحدود: لا شيء ؛
الخلفية: # 006cff ؛
اللون: #fff ؛
المؤشر: المؤشر.
الانتقال: كل 0.2 ثانية ؛
الهامش السفلي: 10 بكسل! مهم ؛
أعلى الهامش: 10 بكسل! مهم ؛
}
.mailchimp_widget__content input [type = ”submit”]: التمرير {
مربع الظل: 2 بكسل 2 بكسل 5 بكسل rgba (0 ، 0 ، 0 ، 0.2) ؛
الخلفية: # 045fdb؛
}
.mailchimp_widget__inputs {
عرض: المرن.
تبرير المحتوى: المركز ؛
محاذاة البنود: مركز.
}
شاشةmedia و (الحد الأقصى للعرض: 768 بكسل) {
.mailchimp_widget {
فليكس الاتجاه: العمود.
}
.mailchimp_widget__visual {
الاتجاه المرن: صف.
تبرير المحتوى: المركز ؛
محاذاة البنود: مركز.
الحشو: 10px.
}
.mailchimp_widget__visual img {
الطول: 30px؛
الهامش الأيمن: 10px؛
}
.mailchimp_widget__content تصنيف {
فونت-سيز: شنومكسبس؛
}
.mailchimp_widget__inputs {
فليكس الاتجاه: العمود.
}
.mailchimp_widget__content input [type = ”submit”] {
الهامش الأيسر: 0! مهم ؛
الهامش العلوي: 0! مهم ؛
}
}
