في 1 نوفمبر 2023 ، أظهرت مراقبة المخاطر الأمنية والإنذار المبكر ومراقبة منصة الحظر من Beosin أن عقد سوق oPEPE الخاص ب OnyxProtocol قد تم اختراقه ، وحقق المتسلل ربحا يبلغ حوالي 2.18 مليون دولار.
عناوين ذات صلة:
ومن المثير للاهتمام أن بروتوكول OnyxProtocol هو شوكة من CompoundV2 ، ومرة أخرى في 15 أبريل 2022 ، عانت HundredFinance أيضا من خسارة قدرها 7 ملايين دولار بسبب نفس الثغرة الأمنية. هذه المرة ، يأخذك Beosin من خلال مراجعة الثغرة الأمنية.
السبب الرئيسي لهذا الهجوم هو أن المتسللين استفادوا من التقريب والتلاعب بسعر الصرف لاختراق دفاع رمز فريق المشروع.
عملية الهجوم
مرحلة التحضير للهجوم:
اقترض المهاجم 4000 WETH كصندوق للتحضير للهجوم.
استبدل المهاجم WETH المقترض بحوالي 2.52 تريليون PEPE.
ثم نقل 2.52 تريليون PEPE إلى عناوين متعددة مثل 0xf8e1 و 0xdb91 ، وتكتمل مرحلة التحضير للهجوم منذ ذلك الحين.
** مرحلة الهجوم: **
يحصل المهاجم على كمية صغيرة من oPEPE ويحقن PEPE في سوق oPEPE ، مما يزيد من رصيد PEPE في سوق oPEPE للتلاعب بسعر صرف oPEPE.
يقرض المهاجم بشكل ضار كمية كبيرة من Ethereum من الأسواق الأخرى.
بسبب التقريب والتلاعب بسعر الصرف ، يستخدم المهاجم مبلغا صغيرا من oPEPE لتصفية القرض واسترداد الأموال المتبرع بها.
يكرر المهاجم الخطوات المذكورة أعلاه ويحول PEPE أخيرا إلى ETH ويعيد القرض السريع ، وبالتالي يحقق ربحا قدره 1156 ETH.
تعقب الأموال
في وقت كتابة هذا التقرير ، وجدت Beosin Trace أن معظم الأموال المسروقة قد تم تحويلها إلى أموال Tornado.
ملخص
ردا على هذا الحادث ، يقترح فريق أمان Beosin: ** 1. استخدام دفتر الأستاذ الاحتياطي لتسجيل إقراض الأصول ؛ 2. توسيع الدقة وتقليل الخطأ الناجم عن العمليات الحسابية ؛ 3 قبل إطلاق المشروع ، يوصى باختيار شركة تدقيق أمني محترفة لإجراء تدقيق أمني شامل لتجنب المخاطر الأمنية. **
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
OnyxProtocol خسر 2.18 مليون دولار في هجوم قراصنة
المصدر: بيوسين
في 1 نوفمبر 2023 ، أظهرت مراقبة المخاطر الأمنية والإنذار المبكر ومراقبة منصة الحظر من Beosin أن عقد سوق oPEPE الخاص ب OnyxProtocol قد تم اختراقه ، وحقق المتسلل ربحا يبلغ حوالي 2.18 مليون دولار.
عناوين ذات صلة:
ومن المثير للاهتمام أن بروتوكول OnyxProtocol هو شوكة من CompoundV2 ، ومرة أخرى في 15 أبريل 2022 ، عانت HundredFinance أيضا من خسارة قدرها 7 ملايين دولار بسبب نفس الثغرة الأمنية. هذه المرة ، يأخذك Beosin من خلال مراجعة الثغرة الأمنية.
معلومات متعلقة بالحدث
● تداول الهجوم
0xf7c21600452939a81b599017ee24ee0dfd92aaaccd0a55d02819a7658a6ef635
● عنوان المهاجم
0x085bdff2c522e8637d4154039db8746bb8642bff
● عقود الهجوم
0x526e8e98356194b64eae4c2d443cc8aad367336f
0xf8e15371832aed6cd2741c572b961ffeaf751eaa
0xdb9be000d428bf3b3ae35f604a0d7ab938bea6eb
0xe495cb62b36cbe40b9ca90de3dc5cdf0a4259e1c
0x414764af57c43e36d7e0c3e55ebe88f410a6edb6
0xcede81bb4046587dad6fc3606428a0eb4084d760
● العقد المهاجم
0x5fdbcd61bc9bd4b6d3fd1f49a5d253165ea11750
0x9dcb6bc351ab416f35aeab1351776e2ad295abc4
تحليل الثغرات الأمنية
السبب الرئيسي لهذا الهجوم هو أن المتسللين استفادوا من التقريب والتلاعب بسعر الصرف لاختراق دفاع رمز فريق المشروع.
عملية الهجوم
مرحلة التحضير للهجوم:
** مرحلة الهجوم: **
تعقب الأموال
في وقت كتابة هذا التقرير ، وجدت Beosin Trace أن معظم الأموال المسروقة قد تم تحويلها إلى أموال Tornado.
ملخص
ردا على هذا الحادث ، يقترح فريق أمان Beosin: ** 1. استخدام دفتر الأستاذ الاحتياطي لتسجيل إقراض الأصول ؛ 2. توسيع الدقة وتقليل الخطأ الناجم عن العمليات الحسابية ؛ 3 قبل إطلاق المشروع ، يوصى باختيار شركة تدقيق أمني محترفة لإجراء تدقيق أمني شامل لتجنب المخاطر الأمنية. **