في أيار 2023 ، تسببت الحوادث الأمنية في خسائر تقدر بحوالي 18 مليون دولار ، بانخفاض ملحوظ مقارنة بالشهر السابق ، لكن تواتر الحوادث الأمنية لم ينخفض.
** بقلم: Okey Cloud Chain **
1. معلومات أساسية
في مايو 2023 ، تسببت الحوادث الأمنية في خسائر تقدر بنحو 18 مليون دولار ، بانخفاض كبير عن الشهر السابق ، لكن وتيرة الحوادث الأمنية لم تنخفض. من بينها ، تسبب الهجوم على بروتوكول جيمبوس في خسائر تقدر بنحو 7.5 مليون دولار. تسبب مشروع Rug Pull ، مشروع Swaprum لسلسلة Arbitrum ، في خسائر تقدر بنحو 3 ملايين دولار. بالإضافة إلى ذلك ، لا تزال حوادث التصيد الاحتيالي على وسائل التواصل الاجتماعي تظهر واحدة تلو الأخرى ، وغالبًا ما يحدث أن يتم التحكم في Discord of the project Party وتنشر روابط التصيد الاحتيالي.
** 1.1 مخزون REKT **
*** رقم 1 ***
في الأول من مايو ، تم الهجوم على المستوى \ _ \ _ التمويل وخسر حوالي 1.1 مليون دولار. السبب الأساسي هو وجود مشكلة منطقية في عقد LevelReferralControllerV2. يمكن أن تمر وظيفة المطالبة المتعددة في العقد في مجموعة من الفترات للسماح للمستخدمين بالمطالبة بالمكافآت لكل حقبة. ومع ذلك ، إذا كانت هناك عناصر مكررة في العقد الذي تم تمريره مجموعة ، سيتم المطالبة بهذه المكافآت مرارًا وتكرارًا.
هجوم جاهز الصفقة:
هجوم المعاملات:
عنوان المهاجم:
*** رقم 2 ***
في 3 مايو ، تعرض مشروع Never Fall للهجوم ، وخسر أكثر من 70 ألف دولار أمريكي ، وتلاعب المهاجم بالسعر من خلال ثغرة في حساب السعر لتحقيق ربح.
هجوم المعاملات:
عنوان المهاجم:
رقم 3
في 3 مايو ، تعرض رمز AutoDonateUkraine (دولار ADU) لهجوم قرض سريع وخسر حوالي 7 آلاف دولار. يستخدم المهاجم وظيفة التسليم لزيادة $ ADU في الزوج ، ثم يستخدم المقشود لاستخراج الفائض من $ ADU. بعد العمليات المتكررة عدة مرات ، يصبح السعر في الزوج غير متوازن.
هجوم المعاملات:
عنوان المهاجم:
رقم 4
في الخامس من مايو ، تعرض Deus Dao ($ DEI) للهجوم على كل من سلاسل BSC و Arbitrum ، وخسر 1،337،375 دولارًا أمريكيًا.الثغرة الرئيسية هي أن وظيفة BurnFrom تستخدم حساب بدل خاطئ ، مما يسمح للمستخدمين بالتلاعب في مبلغ البدل الخاص بالعقد ، وبالتالي يتم نقل تقليل الرموز المميزة في العقد بعيدًا.
هجوم المعاملات:
عنوان المهاجم:
رقم 5
في 6 مايو ، يبدو أن توكن $ BFT قد تعرض للهجوم مع خسارة حوالي 275 ألف دولار أمريكي.
هجوم المعاملات:
عنوان المهاجم:
رقم 6
في السادس من مايو ، تمت مهاجمة $ MELO ، والسبب هو عدم وجود سيطرة سلطة في وظيفة سك العملة ، ويمكن لأي شخص إصدار رموز إضافية وتحويلها إلى حساباتهم الخاصة.
هجوم المعاملات:
عنوان الهجوم:
*** رقم * 7 **
في 9 مايو ، تعرض رمز MultiChainCapital ($ MCC) لهجوم قرض سريع. وكعلامة انكماش انعكاسية ، لم يقم MCC بإفراغ الزوج في العنوان ، مما سمح للمهاجم باستدعاء وظيفة التسليم لصك الرمز المميز وبيعه لتحقيق ربح من 10
هجوم المعاملات:
عنوان المهاجم:
*** رقم * 8 **
في العاشر من مايو ، تمت مهاجمة رمز SNK بالدولار الأمريكي ، وحقق المهاجم ربحًا يقارب 197 ألف دولار أمريكي. السبب الرئيسي للثغرة هو أن طريقة حساب المكافأة هي مقدار الأموال المودعة \ * وقت الإيداع. ومع ذلك ، لا توجد علاقة مقابلة بين وقت التحكم ومبلغ الأموال المودعة في العقد. يمكن للمهاجم استخدام معلمات الوقت السابقة والمبلغ الحالي للأموال لإجراء العمليات الحسابية.
هجوم المعاملات:
عنوان المهاجم:
*** رقم * 9 **
في 11 مايو ، تم الهجوم على رمز LW ، وحقق المهاجم ربحًا قدره 48415 دولارًا أمريكيًا. هذا هو هجوم التلاعب بالأسعار.في عملية تبادل USDT مقابل الرموز LW ، يقوم المهاجم بتشغيل آلية إعادة الشراء لمحفظة التسويق ، مما يزيد من سعر الرموز المميزة ، ثم يبيع المهاجم الرموز المميزة LW لتحقيق ربح.
هجوم المعاملات:
عنوان المهاجم:
*** رقم * 10 **
في 11 مايو ، تعرضت TrustTheTrident للهجوم وخسرت حوالي 95 ألف دولار. السبب الرئيسي هو أنه يمكن تعيين listToken [] في العقد في وظيفة addL Liquidity (). ومع ذلك ، فهذه عملية يجب أن يقوم بها المسؤول. باستخدام هذه الثغرة الأمنية ، يمكن للمتسلل تعيين رمز مميز تم إنشاؤه ذاتيًا في listToken والاتصال ببيعه.
هجوم المعاملات:
عنوان المهاجم:
*** رقم 11 ***
في 13 مايو ، تعرض bitpaidio للهجوم وخسر حوالي 30 ألف دولار. كان السبب الجذري للمشكلة هو أن Lock \ _Token () لم يقم بتحديث وقت القفل بشكل صحيح. قام المهاجم بعمل قفل () منذ 6 أشهر ، مما تسبب في احتساب مبلغ زائد من المكافأة أثناء السحب ().
هجوم المعاملات:
هجوم جاهز الصفقة:
عنوان المهاجم:
*** رقم 1 * 2 **
في 13 مايو ، تعرضت TrustTheTrident للهجوم مرة أخرى وفقدت حوالي 279 BNB. يسمح TrustTheTrident للمستخدمين باختصار الرموز ، لكن السعر يعتمد على الزوج ويمكن التلاعب به بسهولة.
هجوم المعاملات:
عنوان المهاجم:
*** رقم 1 * 3 **
في 14 مايو ، تعرضت TrustTheTrident للهجوم مرة أخرى ، ولم يكن مقدار الخسارة معروفًا. كان السبب الأساسي هو أن وظيفة المطالبة () لعقد StakingRewards لم تتحقق بشكل صحيح من معلمات الإدخال ، مما يسمح للمهاجم بتمرير رمز مزيف بدلاً من USDT للحصول على المزيد من المكافآت.
هجوم المعاملات:
عنوان المهاجم:
*** رقم 1 * 4 **
في 14 مايو ، تعرضت landNFT للهجوم ، والسبب الرئيسي هو أن وظيفة النعناع للمشروع كانت تفتقر إلى التحكم في التصاريح ، حيث قام المهاجم بسك 200 LandNFT لنفسه ، محققًا ربحًا قدره 149.616 مليار دولار أمريكي.
هجوم المعاملات:
عنوان المهاجم:
*** رقم 1 * 5 **
في 20 مايو ، تعرضت تورنادو كاش للهجوم من خلال اقتراح خبيث. خسر حوالي 1.1 مليون دولار. اقترح المهاجم اقتراحًا ضارًا. وبعد إقرار الاقتراح ، تم تغيير رمز عقد الاقتراح عن طريق التدمير الذاتي للعقد ثم إعادة النشر. وعندما نفذ العقد النقدي للإعصار الاقتراح ، تم إصدار أصوات إضافية للعنوان الذي أعده المهاجم للحصول عليه السيطرة على العقد.
هجوم المعاملات:
عنوان المهاجم:
*** رقم 1 * 6 **
في 23 مايو ، تعرضت رموز LFI للهجوم وفقدت حوالي 36 ألف دولار أمريكي.
هجوم المعاملات:
عنوان المهاجم:
*** رقم 1 * 7 **
في 23 مايو ، تعرض توكن دولار CS لهجوم قرض سريع ، وحقق المهاجم ربحًا بحوالي 714 ألف دولار أمريكي. السبب الرئيسي للثغرة الأمنية هو أن الرموز المميزة لـ CS $ ستدمر جزءًا من الرموز المميزة في الزوج أثناء كل معاملة (أو تحويل) لزيادة السعر. يتم حساب burnAmount عن طريق sellAmount ، ولكن لا يتم تحديث قيمة sellAmount. يتيح ذلك للمهاجمين بيع الرموز المميزة بأسعار عالية لتحقيق ربح من خلال رفع أسعار الرموز من خلال معاملات متعددة.
هجوم المعاملات:
عنوان المهاجم:
*** رقم 1 * 8 **
في 23 مايو ، تعرضت LOCALTRADERSCL ($ LCT) للهجوم وفقدت حوالي 384 مليار برميل.
هجوم المعاملات:
عنوان المهاجم:
*** رقم 1 * 9 **
في 25 مايو ، تعرضت GPT للهجوم وخسرت حوالي 42 ألف دولار أمريكي. السبب الرئيسي للثغرة الأمنية هو أنه يمكن تشغيل آلية حرق الرمز عن طريق وضع الرموز في الزوج ثم الكشط ، وبالتالي رفع السعر.
هجوم المعاملات:
*** رقم * 20 **
في 26 مايو ، تعرضت شبكة CNN للهجوم ، وحقق المهاجم ربحًا يقارب 5.6 ألف دولار أمريكي.
هجوم المعاملات:
عنوان المهاجم:
*** رقم 2 * 1 **
في 28 مايو ، تعرض jimbosprotocol للهجوم وخسر حوالي 7.5 مليون دولار.
هجوم المعاملات:
عنوان المهاجم:
*** رقم 2 * 2 **
في 29 مايو ، تعرض babydogecoin للهجوم وخسر حوالي 157000 دولار. وكان مفتاح الهجوم هو أنه في عقد FarmZAP ، تتمتع معاملة babydoge بمعدل رسوم 0. استخدم المهاجم آلية إرجاع babydoge لإحداث فرق في السعر بين جهاز توجيه babydoge الخاص بـ FarmZAP و زوج babydoge في فطيرة تحقيق المراجحة.
هجوم المعاملات:
عنوان المهاجم:
*** رقم 2 * 3 **
في 30 مايو ، تم استغلال قبو Ede \ _finance ، وخسر حوالي 580.000 دولار ، وأعاد المهاجم 90٪ من الأموال.
عنوان المهاجم:
*** رقم 2 * 4 **
في 31 مايو ، تعرض ERC20TokenBank للهجوم وخسر حوالي 119000 دولار.
هجوم المعاملات:
عنوان المهاجم:
** 1.2 مخزون RugPull **
*** رقم 1 ***
في 4 مايو ، انخفض سعر WSB بالدولار الأمريكي zjz.eth rugpull ($ WSB) بنسبة 86٪ ، وتخلص zjz.eth من معظم WSB وحقق ربحًا قدره 334ETH (حوالي 653 ألف دولار أمريكي).
*** رقم 2 ***
05 مايو ، YODA token rugpull ، انخفض YODA بنسبة -100٪ ، حذفت yodacoineth حسابها الاجتماعي / مجموعتها ، وقام المحتالون بتحويل 68 ETH (130 ألف دولار) إلى FixedFloat.
رقم 3
هاكونا ماتاتا rugpull في 08 مايو ، هاكونا انخفض بنسبة -100 ٪.
رقم 4
في 09 مايو ، هبط سهم Derpman الوعرة ، بنسبة -100٪ ، محققًا حوالي 48.55 دولارًا من ETH.
رقم 5
في 15 مايو ، قامت عصابة rugpull بإنشاء رموز مزيفة مثل #PEPEPE ، #LADYS ، #BENZ ، #GGBOND ، #BENEN ، #NEWPEPE ، #PEN ، #TURBOO ، #PEPELOL خلال الأيام الثلاثة الماضية. قام المحتالون بتحويل ما يقرب من 12 ETH إلى MEXC.
رقم 6
في 19 مايو ، نجح Swaprum في تحقيق أرباح بلغت حوالي 3 ملايين دولار في Arbitrum. يستخدم ناشرو Swaprum وظيفة add () backdoor لسرقة رموز LP التي تعهد بها المستخدمون ، ثم إزالة السيولة من المجمع من أجل الربح.
*** رقم 7 ***
26 مايو ، مجموعة منSeaSwapSui ، التي حذفت Twitter والحسابات الاجتماعية الأخرى. قام المسؤولون بسحب SUI على وجه السرعة من عقد بيع الرمز المميز ، والذي بلغ إجماليه 32787 SUI (32000 دولار).
*** رقم * 8 **
في 30 مايو ، كان BlockGPT \ _BSC متينًا. الربح حوالي 816 مليار دولار (حوالي 256 ألف دولار).
** 1.3 مخزون الاحتيال على وسائل التواصل الاجتماعي والتصيد الاحتيالي **
*** رقم 1 ***
في 1 مايو ، تم الترويج لموقع ويب للتصيد الاحتيالي على Twitter ، فلا تتفاعل مع hxxps: //claimbob.site/.
*** رقم 2 ***
في 2 مايو ، ظهر موقع تصيد CertiK مزيف ، لا تتفاعل مع hxxps: //claim.certik.app/.
رقم 3
في 4 مايو ، تم اختراق خادم Syncera \ _io Discord ، يرجى عدم النقر فوق أي روابط حتى يتأكد الفريق من أنهم استعادوا السيطرة على الخادم.
رقم 4
في 4 مايو ، ظهر حساب Pepe Coin مزيف على Twitter ، ولا تتفاعل مع hxxps: //pepegives.xyz/.
رقم 5
تعرض خادم FeetLabsHQ Discord للهجوم في 5 مايو ، يرجى عدم النقر فوق أي روابط حتى يتأكد الفريق من أنهم استعادوا السيطرة على الخادم.
رقم 6
في 6 مايو ، تعرض خادم STFX \ _IO Discord للهجوم ، يرجى عدم النقر فوق أي روابط حتى يؤكد الفريق استعادة السيطرة على الخادم.
*** رقم 7 ***
في 7 مايو ، ظهر موقع مزيف لمطالبات Pepe ، لا تتفاعل مع hxxps: //pepegift.org/
*** رقم 8 ***
في 8 مايو ، تم نشر رابط تصيد على خادم Evmos Discord ، يرجى عدم النقر فوق أي رابط حتى يؤكد الفريق استعادة السيطرة على الخادم.
*** رقم 9 ***
في 8 مايو ، ظهر حساب MetaMask مزيف على Twitter ، لا تتصل بموقع hxxps: //meta-token.net/#.
*** رقم 10 ***
في 8 مايو ، ظهر موقع ويب مزيف لمطالبة بوب ، لا تتفاعل مع hxxps: //bob-airdrop.com/.
*** رقم 11 ***
في 9 مايو ، ظهر حساب peckShield المزيف على Twitter ، فلا تصدق أي شيء لافت للنظر من هذا الحساب.
*** رقم 12 ***
في 9 مايو ، ظهر موقع Ben airdrop مزيف ، لا تتفاعل مع hxxps: //bencoineth.net/.
*** رقم 1 * 3 **
في 10 مايو ، ظهر موقع مزيف لمطالبة Pepe ، لا تتفاعل مع hxxps: //rewardspepe.com/.
*** رقم 1 * 4 **
في 11 أيار (مايو) ، يُرجى الانتباه إلى مواقع مطالبة layerzero الوهمية التي يتم الترويج لها على Twitter ولا تتفاعل مع موقع hxxps: //layerzero-network.app/.
*** رقم 1 * 5 **
في 14 مايو ، تم اختراق خادم OnchainTrade Discord ، يرجى عدم النقر فوق أي روابط حتى يؤكد الفريق استعادة السيطرة على الخادم.
*** رقم 1 * 6 **
تم اختراق خادم opentensor Discord في 14 مايو ، يرجى عدم النقر فوق أي روابط حتى يؤكد الفريق استعادة السيطرة على الخادم.
*** رقم 1 * 7 **
تم اختراق خوادم BTFDRabbits Twitter و #Discord في 15 مايو ، يرجى عدم النقر فوق أي روابط على أي من النظامين الأساسيين حتى يؤكد الفريق السيطرة.
*** رقم 1 * 8 **
في 15 مايو ، تم نشر رابط تصيد في خادم Tyche Protocol Discord ، يرجى عدم النقر فوق أي رابط حتى يؤكد الفريق استعادة السيطرة على الخادم.
*** رقم * 19 **
في السادس عشر من مايو ، تم اختراق خادم Taskonxyz Discord عن طريق رابط تصيد مزيف تم نشره ، ولا تتفاعل مع hxxps: //airdrop.taskon.tech/.
*** رقم 2 * 0 **
تم اختراق خادم freshcut #Discord في 16 مايو ، يرجى عدم النقر فوق أي روابط حتى يؤكد الفريق استعادة السيطرة على الخادم.
*** رقم 2 * 1 **
تم اختراق خادم MorphexFTM #Discord في 16 مايو ، يرجى عدم النقر فوق أي روابط حتى يؤكد الفريق استعادة السيطرة على الخادم.
*** رقم 2 * 2 **
في 17 مايو ، تم اختراق خادم NEARProtocol Discord ، يرجى عدم النقر فوق أي روابط حتى يؤكد الفريق أنهم استعادوا السيطرة على الخادم.
*** رقم 2 * 3 **
تم اختراق خادم lifiprotocol Discord في 17 مايو ، يرجى عدم النقر فوق أي روابط حتى يؤكد الفريق استعادة السيطرة على الخادم.
*** رقم 2 * 4 **
تم اختراق خادم الشفق القريب من Discord في 17 مايو ، يرجى عدم النقر فوق أي روابط حتى يؤكد الفريق استعادة السيطرة على الخادم.
*** رقم * 25 **
تم اختراق خادم Probably0 Discord في 18 مايو ، يرجى عدم النقر فوق أي روابط حتى يؤكد الفريق استعادة السيطرة على الخادم.
*** رقم * 26 **
في 18 مايو ، تعرض خادم oDDbOOG Discord للهجوم ، يرجى عدم النقر فوق أي روابط حتى يتأكد الفريق من أنهم استعادوا السيطرة على الخادم.
*** رقم * 27 **
تم اختراق خادم TheHoraHub Discord في 19 مايو ، يرجى عدم النقر فوق أي روابط حتى يؤكد الفريق أنهم استعادوا السيطرة على الخادم.
*** رقم * 28 **
تم اختراق خادم ArbitrumNewsDAO Discord في 19 مايو ، يرجى عدم النقر فوق أي روابط حتى يؤكد الفريق استعادة السيطرة على الخادم.
*** رقم * 29 **
في 20 أيار (مايو) ، تم اختراق حساب مؤسسة الطيران على تويتر وهو يروج لأحد مواقع التصيد الاحتيالي ، فلا تتفاعل مع hxxps: //avn.finance/.
*** رقم * 30 **
في 20 مايو ، كن حذرًا من الترويج لمواقع ادعاء عملات يودا المزيفة على تويتر ولا تتفاعل مع hxxps: //claim-yoda.com.
*** رقم * 31 **
في 20 مايو ، كن حذرًا من مواقع مطالبة Psyop المزيفة التي يتم الترويج لها على Twitter ولا تتفاعل مع hxxps: //claim-psyop.live/.
*** رقم 3 * 2 **
تم اختراق خادم VenomBridge Discord في 21 مايو ، يرجى عدم النقر فوق أي روابط حتى يؤكد الفريق أنهم استعادوا السيطرة على الخادم.
*** رقم 3 * 3 **
تم اختراق خادم Discord غير المتماثل في 22 مايو ، يرجى عدم النقر فوق أي روابط حتى يؤكد الفريق أنهم استعادوا السيطرة على الخادم.
*** رقم 3 * 4 **
حساب Fake Dex Tools على Twitter في 22 مايو. لا تتفاعل مع موقع hxxps: //dextoois.com/.
*** رقم * 35 **
تم اختراق خادم Superlotl Discord في 22 مايو ، يرجى عدم النقر فوق الارتباط حتى يؤكد الفريق أنهم استعادوا السيطرة على الخادم.
*** رقم * 36 **
تم اختراق خادم zerpmonxrp Discord في 23 مايو ، يرجى عدم النقر فوق الارتباط حتى يؤكد الفريق أنهم استعادوا السيطرة على الخادم.
*** رقم * 37 **
تم اختراق خادم mail3dao Discord في 23 مايو ، من فضلك لا تنقر على الرابط حتى يؤكد الفريق أنه استعاد السيطرة على الخادم.
*** رقم * 38 **
في 23 مايو ، تم نشر رابط تصيد في خادم MetaStars Striker Discord ، يرجى عدم النقر فوق الارتباط حتى يؤكد الفريق أنهم استعادوا السيطرة على الخادم.
2. ملخص السلامة
في مايو 2023 ، وقع عدد من الحوادث الأمنية في DeFi. لا تزال عمليات استغلال منطق الكود ، والتلاعب في أسعار القروض السريعة ، وما إلى ذلك ، أساليب هجوم شائعة الاستخدام من قبل المتسللين. ومن المرجح أن تكون الرموز ذات النماذج الاقتصادية الأكثر تعقيدًا مثل آليات الانعكاس وآليات إعادة التدفق تصبح أهدافًا للهجوم. في الوقت نفسه ، ظهرت بعض أساليب الهجوم الجديدة ، مثل هجوم الاقتراح الخبيث الذي عانى منه تورنادو كاش. من أجل تجنب حدوث حوادث مماثلة مرة أخرى ، يحتاج المطورون إلى اتخاذ إجراءات لضمان أمن المشروع ، بما في ذلك التحقق الكامل من منطق الكود والنموذج الاقتصادي ، ومراجعة المشروع بانتظام ، وإصدار خطة مكافأة الأخطاء بعد بدء تشغيل المشروع. في الوقت نفسه ، حدثت حوادث تصيد على وسائل التواصل الاجتماعي بشكل متكرر هذا الشهر.يجب على المستثمرين أن يظلوا يقظين وأن ينتبهوا للتحقق الكامل من صحة الروابط قبل التفاعل معها لتجنب خسائر الأصول.
شاهد النسخة الأصلية
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
OKLink: جرد الحوادث الأمنية في مايو 2023
** بقلم: Okey Cloud Chain **
1. معلومات أساسية
في مايو 2023 ، تسببت الحوادث الأمنية في خسائر تقدر بنحو 18 مليون دولار ، بانخفاض كبير عن الشهر السابق ، لكن وتيرة الحوادث الأمنية لم تنخفض. من بينها ، تسبب الهجوم على بروتوكول جيمبوس في خسائر تقدر بنحو 7.5 مليون دولار. تسبب مشروع Rug Pull ، مشروع Swaprum لسلسلة Arbitrum ، في خسائر تقدر بنحو 3 ملايين دولار. بالإضافة إلى ذلك ، لا تزال حوادث التصيد الاحتيالي على وسائل التواصل الاجتماعي تظهر واحدة تلو الأخرى ، وغالبًا ما يحدث أن يتم التحكم في Discord of the project Party وتنشر روابط التصيد الاحتيالي.
** 1.1 مخزون REKT **
*** رقم 1 ***
في الأول من مايو ، تم الهجوم على المستوى \ _ \ _ التمويل وخسر حوالي 1.1 مليون دولار. السبب الأساسي هو وجود مشكلة منطقية في عقد LevelReferralControllerV2. يمكن أن تمر وظيفة المطالبة المتعددة في العقد في مجموعة من الفترات للسماح للمستخدمين بالمطالبة بالمكافآت لكل حقبة. ومع ذلك ، إذا كانت هناك عناصر مكررة في العقد الذي تم تمريره مجموعة ، سيتم المطالبة بهذه المكافآت مرارًا وتكرارًا.
هجوم جاهز الصفقة:
هجوم المعاملات:
عنوان المهاجم:
*** رقم 2 ***
في 3 مايو ، تعرض مشروع Never Fall للهجوم ، وخسر أكثر من 70 ألف دولار أمريكي ، وتلاعب المهاجم بالسعر من خلال ثغرة في حساب السعر لتحقيق ربح.
هجوم المعاملات:
عنوان المهاجم:
رقم 3
في 3 مايو ، تعرض رمز AutoDonateUkraine (دولار ADU) لهجوم قرض سريع وخسر حوالي 7 آلاف دولار. يستخدم المهاجم وظيفة التسليم لزيادة $ ADU في الزوج ، ثم يستخدم المقشود لاستخراج الفائض من $ ADU. بعد العمليات المتكررة عدة مرات ، يصبح السعر في الزوج غير متوازن.
هجوم المعاملات:
عنوان المهاجم:
رقم 4
في الخامس من مايو ، تعرض Deus Dao ($ DEI) للهجوم على كل من سلاسل BSC و Arbitrum ، وخسر 1،337،375 دولارًا أمريكيًا.الثغرة الرئيسية هي أن وظيفة BurnFrom تستخدم حساب بدل خاطئ ، مما يسمح للمستخدمين بالتلاعب في مبلغ البدل الخاص بالعقد ، وبالتالي يتم نقل تقليل الرموز المميزة في العقد بعيدًا.
هجوم المعاملات:
عنوان المهاجم:
رقم 5
في 6 مايو ، يبدو أن توكن $ BFT قد تعرض للهجوم مع خسارة حوالي 275 ألف دولار أمريكي.
هجوم المعاملات:
عنوان المهاجم:
رقم 6
في السادس من مايو ، تمت مهاجمة $ MELO ، والسبب هو عدم وجود سيطرة سلطة في وظيفة سك العملة ، ويمكن لأي شخص إصدار رموز إضافية وتحويلها إلى حساباتهم الخاصة.
هجوم المعاملات:
عنوان الهجوم:
*** رقم * 7 **
في 9 مايو ، تعرض رمز MultiChainCapital ($ MCC) لهجوم قرض سريع. وكعلامة انكماش انعكاسية ، لم يقم MCC بإفراغ الزوج في العنوان ، مما سمح للمهاجم باستدعاء وظيفة التسليم لصك الرمز المميز وبيعه لتحقيق ربح من 10
هجوم المعاملات:
عنوان المهاجم:
*** رقم * 8 **
في العاشر من مايو ، تمت مهاجمة رمز SNK بالدولار الأمريكي ، وحقق المهاجم ربحًا يقارب 197 ألف دولار أمريكي. السبب الرئيسي للثغرة هو أن طريقة حساب المكافأة هي مقدار الأموال المودعة \ * وقت الإيداع. ومع ذلك ، لا توجد علاقة مقابلة بين وقت التحكم ومبلغ الأموال المودعة في العقد. يمكن للمهاجم استخدام معلمات الوقت السابقة والمبلغ الحالي للأموال لإجراء العمليات الحسابية.
هجوم المعاملات:
عنوان المهاجم:
*** رقم * 9 **
في 11 مايو ، تم الهجوم على رمز LW ، وحقق المهاجم ربحًا قدره 48415 دولارًا أمريكيًا. هذا هو هجوم التلاعب بالأسعار.في عملية تبادل USDT مقابل الرموز LW ، يقوم المهاجم بتشغيل آلية إعادة الشراء لمحفظة التسويق ، مما يزيد من سعر الرموز المميزة ، ثم يبيع المهاجم الرموز المميزة LW لتحقيق ربح.
هجوم المعاملات:
عنوان المهاجم:
*** رقم * 10 **
في 11 مايو ، تعرضت TrustTheTrident للهجوم وخسرت حوالي 95 ألف دولار. السبب الرئيسي هو أنه يمكن تعيين listToken [] في العقد في وظيفة addL Liquidity (). ومع ذلك ، فهذه عملية يجب أن يقوم بها المسؤول. باستخدام هذه الثغرة الأمنية ، يمكن للمتسلل تعيين رمز مميز تم إنشاؤه ذاتيًا في listToken والاتصال ببيعه.
هجوم المعاملات:
عنوان المهاجم:
*** رقم 11 ***
في 13 مايو ، تعرض bitpaidio للهجوم وخسر حوالي 30 ألف دولار. كان السبب الجذري للمشكلة هو أن Lock \ _Token () لم يقم بتحديث وقت القفل بشكل صحيح. قام المهاجم بعمل قفل () منذ 6 أشهر ، مما تسبب في احتساب مبلغ زائد من المكافأة أثناء السحب ().
هجوم المعاملات:
هجوم جاهز الصفقة:
عنوان المهاجم:
*** رقم 1 * 2 **
في 13 مايو ، تعرضت TrustTheTrident للهجوم مرة أخرى وفقدت حوالي 279 BNB. يسمح TrustTheTrident للمستخدمين باختصار الرموز ، لكن السعر يعتمد على الزوج ويمكن التلاعب به بسهولة.
هجوم المعاملات:
عنوان المهاجم:
*** رقم 1 * 3 **
في 14 مايو ، تعرضت TrustTheTrident للهجوم مرة أخرى ، ولم يكن مقدار الخسارة معروفًا. كان السبب الأساسي هو أن وظيفة المطالبة () لعقد StakingRewards لم تتحقق بشكل صحيح من معلمات الإدخال ، مما يسمح للمهاجم بتمرير رمز مزيف بدلاً من USDT للحصول على المزيد من المكافآت.
هجوم المعاملات:
عنوان المهاجم:
*** رقم 1 * 4 **
في 14 مايو ، تعرضت landNFT للهجوم ، والسبب الرئيسي هو أن وظيفة النعناع للمشروع كانت تفتقر إلى التحكم في التصاريح ، حيث قام المهاجم بسك 200 LandNFT لنفسه ، محققًا ربحًا قدره 149.616 مليار دولار أمريكي.
هجوم المعاملات:
عنوان المهاجم:
*** رقم 1 * 5 **
في 20 مايو ، تعرضت تورنادو كاش للهجوم من خلال اقتراح خبيث. خسر حوالي 1.1 مليون دولار. اقترح المهاجم اقتراحًا ضارًا. وبعد إقرار الاقتراح ، تم تغيير رمز عقد الاقتراح عن طريق التدمير الذاتي للعقد ثم إعادة النشر. وعندما نفذ العقد النقدي للإعصار الاقتراح ، تم إصدار أصوات إضافية للعنوان الذي أعده المهاجم للحصول عليه السيطرة على العقد.
هجوم المعاملات:
عنوان المهاجم:
*** رقم 1 * 6 **
في 23 مايو ، تعرضت رموز LFI للهجوم وفقدت حوالي 36 ألف دولار أمريكي.
هجوم المعاملات:
عنوان المهاجم:
*** رقم 1 * 7 **
في 23 مايو ، تعرض توكن دولار CS لهجوم قرض سريع ، وحقق المهاجم ربحًا بحوالي 714 ألف دولار أمريكي. السبب الرئيسي للثغرة الأمنية هو أن الرموز المميزة لـ CS $ ستدمر جزءًا من الرموز المميزة في الزوج أثناء كل معاملة (أو تحويل) لزيادة السعر. يتم حساب burnAmount عن طريق sellAmount ، ولكن لا يتم تحديث قيمة sellAmount. يتيح ذلك للمهاجمين بيع الرموز المميزة بأسعار عالية لتحقيق ربح من خلال رفع أسعار الرموز من خلال معاملات متعددة.
هجوم المعاملات:
عنوان المهاجم:
*** رقم 1 * 8 **
في 23 مايو ، تعرضت LOCALTRADERSCL ($ LCT) للهجوم وفقدت حوالي 384 مليار برميل.
هجوم المعاملات:
عنوان المهاجم:
*** رقم 1 * 9 **
في 25 مايو ، تعرضت GPT للهجوم وخسرت حوالي 42 ألف دولار أمريكي. السبب الرئيسي للثغرة الأمنية هو أنه يمكن تشغيل آلية حرق الرمز عن طريق وضع الرموز في الزوج ثم الكشط ، وبالتالي رفع السعر.
هجوم المعاملات:
*** رقم * 20 **
في 26 مايو ، تعرضت شبكة CNN للهجوم ، وحقق المهاجم ربحًا يقارب 5.6 ألف دولار أمريكي.
هجوم المعاملات:
عنوان المهاجم:
*** رقم 2 * 1 **
في 28 مايو ، تعرض jimbosprotocol للهجوم وخسر حوالي 7.5 مليون دولار.
هجوم المعاملات:
عنوان المهاجم:
*** رقم 2 * 2 **
في 29 مايو ، تعرض babydogecoin للهجوم وخسر حوالي 157000 دولار. وكان مفتاح الهجوم هو أنه في عقد FarmZAP ، تتمتع معاملة babydoge بمعدل رسوم 0. استخدم المهاجم آلية إرجاع babydoge لإحداث فرق في السعر بين جهاز توجيه babydoge الخاص بـ FarmZAP و زوج babydoge في فطيرة تحقيق المراجحة.
هجوم المعاملات:
عنوان المهاجم:
*** رقم 2 * 3 **
في 30 مايو ، تم استغلال قبو Ede \ _finance ، وخسر حوالي 580.000 دولار ، وأعاد المهاجم 90٪ من الأموال.
عنوان المهاجم:
*** رقم 2 * 4 **
في 31 مايو ، تعرض ERC20TokenBank للهجوم وخسر حوالي 119000 دولار.
هجوم المعاملات:
عنوان المهاجم:
** 1.2 مخزون RugPull **
*** رقم 1 ***
في 4 مايو ، انخفض سعر WSB بالدولار الأمريكي zjz.eth rugpull ($ WSB) بنسبة 86٪ ، وتخلص zjz.eth من معظم WSB وحقق ربحًا قدره 334ETH (حوالي 653 ألف دولار أمريكي).
*** رقم 2 ***
05 مايو ، YODA token rugpull ، انخفض YODA بنسبة -100٪ ، حذفت yodacoineth حسابها الاجتماعي / مجموعتها ، وقام المحتالون بتحويل 68 ETH (130 ألف دولار) إلى FixedFloat.
رقم 3
هاكونا ماتاتا rugpull في 08 مايو ، هاكونا انخفض بنسبة -100 ٪.
رقم 4
في 09 مايو ، هبط سهم Derpman الوعرة ، بنسبة -100٪ ، محققًا حوالي 48.55 دولارًا من ETH.
رقم 5
في 15 مايو ، قامت عصابة rugpull بإنشاء رموز مزيفة مثل #PEPEPE ، #LADYS ، #BENZ ، #GGBOND ، #BENEN ، #NEWPEPE ، #PEN ، #TURBOO ، #PEPELOL خلال الأيام الثلاثة الماضية. قام المحتالون بتحويل ما يقرب من 12 ETH إلى MEXC.
رقم 6
في 19 مايو ، نجح Swaprum في تحقيق أرباح بلغت حوالي 3 ملايين دولار في Arbitrum. يستخدم ناشرو Swaprum وظيفة add () backdoor لسرقة رموز LP التي تعهد بها المستخدمون ، ثم إزالة السيولة من المجمع من أجل الربح.
*** رقم 7 ***
26 مايو ، مجموعة منSeaSwapSui ، التي حذفت Twitter والحسابات الاجتماعية الأخرى. قام المسؤولون بسحب SUI على وجه السرعة من عقد بيع الرمز المميز ، والذي بلغ إجماليه 32787 SUI (32000 دولار).
*** رقم * 8 **
في 30 مايو ، كان BlockGPT \ _BSC متينًا. الربح حوالي 816 مليار دولار (حوالي 256 ألف دولار).
** 1.3 مخزون الاحتيال على وسائل التواصل الاجتماعي والتصيد الاحتيالي **
*** رقم 1 ***
في 1 مايو ، تم الترويج لموقع ويب للتصيد الاحتيالي على Twitter ، فلا تتفاعل مع hxxps: //claimbob.site/.
*** رقم 2 ***
في 2 مايو ، ظهر موقع تصيد CertiK مزيف ، لا تتفاعل مع hxxps: //claim.certik.app/.
رقم 3
في 4 مايو ، تم اختراق خادم Syncera \ _io Discord ، يرجى عدم النقر فوق أي روابط حتى يتأكد الفريق من أنهم استعادوا السيطرة على الخادم.
رقم 4
في 4 مايو ، ظهر حساب Pepe Coin مزيف على Twitter ، ولا تتفاعل مع hxxps: //pepegives.xyz/.
رقم 5
تعرض خادم FeetLabsHQ Discord للهجوم في 5 مايو ، يرجى عدم النقر فوق أي روابط حتى يتأكد الفريق من أنهم استعادوا السيطرة على الخادم.
رقم 6
في 6 مايو ، تعرض خادم STFX \ _IO Discord للهجوم ، يرجى عدم النقر فوق أي روابط حتى يؤكد الفريق استعادة السيطرة على الخادم.
*** رقم 7 ***
في 7 مايو ، ظهر موقع مزيف لمطالبات Pepe ، لا تتفاعل مع hxxps: //pepegift.org/
*** رقم 8 ***
في 8 مايو ، تم نشر رابط تصيد على خادم Evmos Discord ، يرجى عدم النقر فوق أي رابط حتى يؤكد الفريق استعادة السيطرة على الخادم.
*** رقم 9 ***
في 8 مايو ، ظهر حساب MetaMask مزيف على Twitter ، لا تتصل بموقع hxxps: //meta-token.net/#.
*** رقم 10 ***
في 8 مايو ، ظهر موقع ويب مزيف لمطالبة بوب ، لا تتفاعل مع hxxps: //bob-airdrop.com/.
*** رقم 11 ***
في 9 مايو ، ظهر حساب peckShield المزيف على Twitter ، فلا تصدق أي شيء لافت للنظر من هذا الحساب.
*** رقم 12 ***
في 9 مايو ، ظهر موقع Ben airdrop مزيف ، لا تتفاعل مع hxxps: //bencoineth.net/.
*** رقم 1 * 3 **
في 10 مايو ، ظهر موقع مزيف لمطالبة Pepe ، لا تتفاعل مع hxxps: //rewardspepe.com/.
*** رقم 1 * 4 **
في 11 أيار (مايو) ، يُرجى الانتباه إلى مواقع مطالبة layerzero الوهمية التي يتم الترويج لها على Twitter ولا تتفاعل مع موقع hxxps: //layerzero-network.app/.
*** رقم 1 * 5 **
في 14 مايو ، تم اختراق خادم OnchainTrade Discord ، يرجى عدم النقر فوق أي روابط حتى يؤكد الفريق استعادة السيطرة على الخادم.
*** رقم 1 * 6 **
تم اختراق خادم opentensor Discord في 14 مايو ، يرجى عدم النقر فوق أي روابط حتى يؤكد الفريق استعادة السيطرة على الخادم.
*** رقم 1 * 7 **
تم اختراق خوادم BTFDRabbits Twitter و #Discord في 15 مايو ، يرجى عدم النقر فوق أي روابط على أي من النظامين الأساسيين حتى يؤكد الفريق السيطرة.
*** رقم 1 * 8 **
في 15 مايو ، تم نشر رابط تصيد في خادم Tyche Protocol Discord ، يرجى عدم النقر فوق أي رابط حتى يؤكد الفريق استعادة السيطرة على الخادم.
*** رقم * 19 **
في السادس عشر من مايو ، تم اختراق خادم Taskonxyz Discord عن طريق رابط تصيد مزيف تم نشره ، ولا تتفاعل مع hxxps: //airdrop.taskon.tech/.
*** رقم 2 * 0 **
تم اختراق خادم freshcut #Discord في 16 مايو ، يرجى عدم النقر فوق أي روابط حتى يؤكد الفريق استعادة السيطرة على الخادم.
*** رقم 2 * 1 **
تم اختراق خادم MorphexFTM #Discord في 16 مايو ، يرجى عدم النقر فوق أي روابط حتى يؤكد الفريق استعادة السيطرة على الخادم.
*** رقم 2 * 2 **
في 17 مايو ، تم اختراق خادم NEARProtocol Discord ، يرجى عدم النقر فوق أي روابط حتى يؤكد الفريق أنهم استعادوا السيطرة على الخادم.
*** رقم 2 * 3 **
تم اختراق خادم lifiprotocol Discord في 17 مايو ، يرجى عدم النقر فوق أي روابط حتى يؤكد الفريق استعادة السيطرة على الخادم.
*** رقم 2 * 4 **
تم اختراق خادم الشفق القريب من Discord في 17 مايو ، يرجى عدم النقر فوق أي روابط حتى يؤكد الفريق استعادة السيطرة على الخادم.
*** رقم * 25 **
تم اختراق خادم Probably0 Discord في 18 مايو ، يرجى عدم النقر فوق أي روابط حتى يؤكد الفريق استعادة السيطرة على الخادم.
*** رقم * 26 **
في 18 مايو ، تعرض خادم oDDbOOG Discord للهجوم ، يرجى عدم النقر فوق أي روابط حتى يتأكد الفريق من أنهم استعادوا السيطرة على الخادم.
*** رقم * 27 **
تم اختراق خادم TheHoraHub Discord في 19 مايو ، يرجى عدم النقر فوق أي روابط حتى يؤكد الفريق أنهم استعادوا السيطرة على الخادم.
*** رقم * 28 **
تم اختراق خادم ArbitrumNewsDAO Discord في 19 مايو ، يرجى عدم النقر فوق أي روابط حتى يؤكد الفريق استعادة السيطرة على الخادم.
*** رقم * 29 **
في 20 أيار (مايو) ، تم اختراق حساب مؤسسة الطيران على تويتر وهو يروج لأحد مواقع التصيد الاحتيالي ، فلا تتفاعل مع hxxps: //avn.finance/.
*** رقم * 30 **
في 20 مايو ، كن حذرًا من الترويج لمواقع ادعاء عملات يودا المزيفة على تويتر ولا تتفاعل مع hxxps: //claim-yoda.com.
*** رقم * 31 **
في 20 مايو ، كن حذرًا من مواقع مطالبة Psyop المزيفة التي يتم الترويج لها على Twitter ولا تتفاعل مع hxxps: //claim-psyop.live/.
*** رقم 3 * 2 **
تم اختراق خادم VenomBridge Discord في 21 مايو ، يرجى عدم النقر فوق أي روابط حتى يؤكد الفريق أنهم استعادوا السيطرة على الخادم.
*** رقم 3 * 3 **
تم اختراق خادم Discord غير المتماثل في 22 مايو ، يرجى عدم النقر فوق أي روابط حتى يؤكد الفريق أنهم استعادوا السيطرة على الخادم.
*** رقم 3 * 4 **
حساب Fake Dex Tools على Twitter في 22 مايو. لا تتفاعل مع موقع hxxps: //dextoois.com/.
*** رقم * 35 **
تم اختراق خادم Superlotl Discord في 22 مايو ، يرجى عدم النقر فوق الارتباط حتى يؤكد الفريق أنهم استعادوا السيطرة على الخادم.
*** رقم * 36 **
تم اختراق خادم zerpmonxrp Discord في 23 مايو ، يرجى عدم النقر فوق الارتباط حتى يؤكد الفريق أنهم استعادوا السيطرة على الخادم.
*** رقم * 37 **
تم اختراق خادم mail3dao Discord في 23 مايو ، من فضلك لا تنقر على الرابط حتى يؤكد الفريق أنه استعاد السيطرة على الخادم.
*** رقم * 38 **
في 23 مايو ، تم نشر رابط تصيد في خادم MetaStars Striker Discord ، يرجى عدم النقر فوق الارتباط حتى يؤكد الفريق أنهم استعادوا السيطرة على الخادم.
2. ملخص السلامة
في مايو 2023 ، وقع عدد من الحوادث الأمنية في DeFi. لا تزال عمليات استغلال منطق الكود ، والتلاعب في أسعار القروض السريعة ، وما إلى ذلك ، أساليب هجوم شائعة الاستخدام من قبل المتسللين. ومن المرجح أن تكون الرموز ذات النماذج الاقتصادية الأكثر تعقيدًا مثل آليات الانعكاس وآليات إعادة التدفق تصبح أهدافًا للهجوم. في الوقت نفسه ، ظهرت بعض أساليب الهجوم الجديدة ، مثل هجوم الاقتراح الخبيث الذي عانى منه تورنادو كاش. من أجل تجنب حدوث حوادث مماثلة مرة أخرى ، يحتاج المطورون إلى اتخاذ إجراءات لضمان أمن المشروع ، بما في ذلك التحقق الكامل من منطق الكود والنموذج الاقتصادي ، ومراجعة المشروع بانتظام ، وإصدار خطة مكافأة الأخطاء بعد بدء تشغيل المشروع. في الوقت نفسه ، حدثت حوادث تصيد على وسائل التواصل الاجتماعي بشكل متكرر هذا الشهر.يجب على المستثمرين أن يظلوا يقظين وأن ينتبهوا للتحقق الكامل من صحة الروابط قبل التفاعل معها لتجنب خسائر الأصول.