تحليل مشروع شبكة جارفيس من هجوم إعادة دخول القروض السريعة
في الآونة الأخيرة ، جذب هجوم على مشروع شبكة جارفيس انتباه الصناعة. وفقا لمراقبة البيانات على السلسلة ، وقع الهجوم في 15 يناير 2023 ، مما أدى إلى خسارة 663,101 رمز MATIC للمشروع.
من خلال تحليل مكدس المكالمات للمعاملة المهاجمة ، وجدنا أن المهاجم استغل مجموعة من القروض السريعة ونقاط الضعف في إعادة الدخول. في عملية إزالة السيولة ، نجح المهاجم في تنفيذ هجوم إعادة الدخول ، مما أدى إلى إرجاع نفس الوظيفة قيما مختلفة جدا قبل وبعد إعادة الدخول.
بالتعمق أكثر ، اتضح أن المشكلة تكمن في وظيفة remove_liquidity. هذه الوظيفة مسؤولة عن إزالة السيولة وإرجاع الرموز المميزة للمستخدم. نظرا لأن سلسلة Polygon متوافقة مع EVM ، يتم تشغيل منطق إعادة الدخول للعقد أثناء عملية النقل.
! [تحليل حادث هجوم إعادة الدخول لقرض فلاش شبكة جارفيس](https://img-cdn.gateio.im/webp-social/moments-723c5b4a39a2f19df12a1a8148314db0.webp019283746574839201
تكمن الثغرة الرئيسية في المتغير self.D المستخدم في حساب الأسعار. في الظروف العادية، يجب تحديث self.D في الوقت المناسب عند إزالة السيولة. ومع ذلك، بسبب عيب في منطق الشيفرة، تم تأجيل تحديث self.D إلى ما بعد الاستدعاء الخارجي. وهذا يمنح المهاجمين الفرصة لإدخال عمليات في الوسط، مستغلين قيمة self.D غير المحدثة للقيام بعمليات التحكيم.
![تحليل حادثة هجوم إعادة الدخول على القروض السريعة Jarvis Network])https://img-cdn.gateio.im/webp-social/moments-9bab9c70334266f146fdb56281be3974.webp(
على الرغم من أن دالة remove_liquidity تستخدم الزخرفة @nonreentrant)'lock'( لمنع إعادة الدخول، إلا أن المهاجمين قد تمكنوا من التهرب من هذه الآلية الوقائية بذكاء. لقد قاموا بإعادة الدخول إلى وظائف الإقراض لعقود أخرى بدلاً من إعادة الدخول مباشرة إلى دالة remove_liquidity نفسها، مما سمح لهم بتجاوز قيود قفل إعادة الدخول.
! [تحليل حادث هجوم إعادة الدخول لقرض شبكة جارفيس])https://img-cdn.gateio.im/webp-social/moments-111047ecd9af84620f98df2f4dd67efa.webp(
تسلط هذه الهجمة الضوء على أهمية بعض المبادئ الأمنية الرئيسية في تطوير العقود الذكية:
اتبع بدقة نمط الشيكات والتأثيرات والتفاعلات.
تأكد من اكتمال تحديث المتغيرات الهامة قبل أي مكالمات خارجية.
استخدام مصادر بيانات متعددة للحصول على الأسعار لتعزيز متانة النظام.
تعتبر التدقيقات الأمنية الشاملة ضرورية لاكتشاف وإصلاح الثغرات المحتملة.
![تحليل حادثة هجوم إعادة الدخول على القروض السريعة Jarvis Network])https://img-cdn.gateio.im/webp-social/moments-eec688a506ffd949bdb6891b97fabb6c.webp(
تذكرنا هذه الحادثة مرة أخرى أن الأمان هو دائمًا أولوية في النظام البيئي المتطور بسرعة لتكنولوجيا blockchain. يجب على فرق تطوير المشاريع أن تظل على اطلاع بأحدث ممارسات الأمان وأن تقوم بإجراء مراجعات منتظمة للكود واختبارات الثغرات لضمان أمان أصول المستخدمين.
![تحليل حادثة هجوم إعادة إدخال القروض السريعة لشبكة جارفيز])https://img-cdn.gateio.im/webp-social/moments-a0f03c13dd2d37ba67ccf538fec62aa0.webp(
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 6
أعجبني
6
7
مشاركة
تعليق
0/400
MidnightSnapHunter
· 07-18 10:01
إن حشرات العقود حقًا يصعب تجنبها.
شاهد النسخة الأصليةرد0
StablecoinEnjoyer
· 07-17 23:27
تم اختراق مشروع آخر!
شاهد النسخة الأصليةرد0
OnChainSleuth
· 07-17 00:48
تمت سرقة مشروع آخر بالكامل
شاهد النسخة الأصليةرد0
shadowy_supercoder
· 07-17 00:40
تس تس، إنها هجوم إعادة الإدخال مرة أخرى، لا تتعلم الدرس.
تعرضت شبكة جارفس لهجوم إعادة الدخول عبر القروض السريعة مما أدى إلى خسارة 660,000 عملة MATIC
تحليل مشروع شبكة جارفيس من هجوم إعادة دخول القروض السريعة
في الآونة الأخيرة ، جذب هجوم على مشروع شبكة جارفيس انتباه الصناعة. وفقا لمراقبة البيانات على السلسلة ، وقع الهجوم في 15 يناير 2023 ، مما أدى إلى خسارة 663,101 رمز MATIC للمشروع.
! تحليل حادث هجوم إعادة الدخول لقرض شبكة جارفيس
من خلال تحليل مكدس المكالمات للمعاملة المهاجمة ، وجدنا أن المهاجم استغل مجموعة من القروض السريعة ونقاط الضعف في إعادة الدخول. في عملية إزالة السيولة ، نجح المهاجم في تنفيذ هجوم إعادة الدخول ، مما أدى إلى إرجاع نفس الوظيفة قيما مختلفة جدا قبل وبعد إعادة الدخول.
بالتعمق أكثر ، اتضح أن المشكلة تكمن في وظيفة remove_liquidity. هذه الوظيفة مسؤولة عن إزالة السيولة وإرجاع الرموز المميزة للمستخدم. نظرا لأن سلسلة Polygon متوافقة مع EVM ، يتم تشغيل منطق إعادة الدخول للعقد أثناء عملية النقل.
! [تحليل حادث هجوم إعادة الدخول لقرض فلاش شبكة جارفيس](https://img-cdn.gateio.im/webp-social/moments-723c5b4a39a2f19df12a1a8148314db0.webp019283746574839201
تكمن الثغرة الرئيسية في المتغير self.D المستخدم في حساب الأسعار. في الظروف العادية، يجب تحديث self.D في الوقت المناسب عند إزالة السيولة. ومع ذلك، بسبب عيب في منطق الشيفرة، تم تأجيل تحديث self.D إلى ما بعد الاستدعاء الخارجي. وهذا يمنح المهاجمين الفرصة لإدخال عمليات في الوسط، مستغلين قيمة self.D غير المحدثة للقيام بعمليات التحكيم.
![تحليل حادثة هجوم إعادة الدخول على القروض السريعة Jarvis Network])https://img-cdn.gateio.im/webp-social/moments-9bab9c70334266f146fdb56281be3974.webp(
على الرغم من أن دالة remove_liquidity تستخدم الزخرفة @nonreentrant)'lock'( لمنع إعادة الدخول، إلا أن المهاجمين قد تمكنوا من التهرب من هذه الآلية الوقائية بذكاء. لقد قاموا بإعادة الدخول إلى وظائف الإقراض لعقود أخرى بدلاً من إعادة الدخول مباشرة إلى دالة remove_liquidity نفسها، مما سمح لهم بتجاوز قيود قفل إعادة الدخول.
! [تحليل حادث هجوم إعادة الدخول لقرض شبكة جارفيس])https://img-cdn.gateio.im/webp-social/moments-111047ecd9af84620f98df2f4dd67efa.webp(
تسلط هذه الهجمة الضوء على أهمية بعض المبادئ الأمنية الرئيسية في تطوير العقود الذكية:
![تحليل حادثة هجوم إعادة الدخول على القروض السريعة Jarvis Network])https://img-cdn.gateio.im/webp-social/moments-eec688a506ffd949bdb6891b97fabb6c.webp(
تذكرنا هذه الحادثة مرة أخرى أن الأمان هو دائمًا أولوية في النظام البيئي المتطور بسرعة لتكنولوجيا blockchain. يجب على فرق تطوير المشاريع أن تظل على اطلاع بأحدث ممارسات الأمان وأن تقوم بإجراء مراجعات منتظمة للكود واختبارات الثغرات لضمان أمان أصول المستخدمين.
![تحليل حادثة هجوم إعادة إدخال القروض السريعة لشبكة جارفيز])https://img-cdn.gateio.im/webp-social/moments-a0f03c13dd2d37ba67ccf538fec62aa0.webp(