MetaTrust: Earning.Farm Hacked بسبب مشكلة منطقية في وظيفة "الانسحاب" الخاصة بالعقد

وفقًا لتغريدات MetaTrust ، تمت مهاجمة مشروع Earning.Farm الذي تم نشره على Ethereum ، وحتى الآن ، بلغت خسائر الهجوم حوالي 288 دولارًا من ETH ، بقيمة 536000 دولار. تم نقل جميع الرموز إلى المحفظة الجديدة (0 x ee 4 b 3 d).

السبب الجذري لهذه الثغرة الأمنية هو مشكلة منطقية في وظيفة "السحب" لعقد "EFVault" ، والتي تسمح للمستخدم بنسخ رصيد "ENF \ _ETHLEV" للمستخدم فقط عندما يكون رصيد "ENF \ _ETHLEV" أقل من نصيب متوقع.

خطوات الهجوم

1 / يحصل المهاجم على 10،000 Ethereum من القرض السريع ، ويودع 80 منها في عقد ENF \ _ETHLEV ، ويحصل على 295 e 18 سهمًا.

2 / قام المهاجم بسحب 295 e 18 مشاركة من عقد ENF \ _ETHLEV عن طريق استدعاء وظيفة السحب. بعد ذلك ، تستدعي وظيفة "الانسحاب" وظيفة السحب الخاصة بـ "وحدة التحكم" في العقد الخارجي ، مما يؤدي إلى تشغيل الوظيفة الاحتياطية لعقد المهاجم.

3 / في الوظيفة الاحتياطية ، ينقل المهاجم (295 e 18-1000) رموز ENF \ _ETHEV إلى محفظة جديدة 0 x fd 29 f 2 ، ولا يحرق المهاجم سوى 1000 من رموز ENF-ETHEV.

4 / يقوم المهاجم بتحويل رمز ENF \ _ETHEV في المحفظة 0 x fd 29 f 2 إلى ETH ، ويسدد القرض السريع ويحقق ربحًا منه.

! [MetaTrust: Earning.Farm تعرضت للهجوم بسبب العقد] (https://img-cdn.gateio.im/resized-social/moments-7f230462a9-eba3557ca6-dd1a6f-1c6801)

إحدى معاملات الهجوم: 0 x 878 d 8986 ed 05 ab 32 cc 01 e 05663 d 27 ea 471576 d 2 baff 1081 b 15 ed 5 fb 550 f 9 d 81 b

تغريدة مرجعية:

تابعنا

تويتر:MetaTrustLabs

الموقع: metatrust.io