أفضل المعلومات حول العملات الرقمية تصلك مباشرة إلى بريدك الإلكتروني.
- تم استنزاف ما يقرب من 500,000 دولار من مجمع PancakeSwap V2 OCA/USDC على BSC في عملية استغلال استغلت القروض السريعة.
- تتيح القروض السريعة للمستخدمين اقتراض الأصول المشفرة بدون ضمانات، ولكن يجب سداد المبلغ المقترض بالإضافة إلى الرسوم ضمن نفس كتلة المعاملة.
- أدى استغلال مماثل لثغرة القروض السريعة على نظام BSC إلى إفلات المهاجم من العقاب بعد حصوله على أكثر من 100 ألف دولار.
تم استغلال ثغرة أمنية في مجمع تداولcakeSwap V2 لعملة OCAUSDC على منصة BSC في معاملة مشبوهة تم رصدها اليوم. أسفر الهجوم عن خسارة ما يقارب 500,000 دولار أمريكي من سوق USDC، تم استنزافها في معاملة واحدة.
بحسب تقارير من البلوك تشين ، استغل المهاجم ثغرة أمنية في منطق SellOCA() الخاص بالانكماش، مما مكّنه من التلاعب باحتياطيات المجمع. وبلغت قيمة المبلغ الذي استولى عليه المهاجم حوالي 422 ألف دولار أمريكي.
تضمنت الثغرة استخدام قروض سريعة وعمليات تبادل سريعة، بالإضافة إلى استدعاءات متكررة لوظيفة swapHelper الخاصة بـ OCA. أدى ذلك إلى سحب رموز OCA مباشرةً من مجمع السيولة أثناء عمليات التبادل، مما أدى إلى تضخيم سعر OCA بشكل مصطنع، ومكّن من استنزاف عملة USDC.
كيف حدث استغلال ثغرة OCA/USDC؟
تم تنفيذ الهجوم وبحسب ما ورد، عبر ثلاث معاملات. الأولى لتنفيذ عملية الاستغلال، والمعاملتان التاليتان لتقديم رشاوى إضافية للمنشئين.
كتب Blocksec Phalcon على X حولdent: "في المجموع، تم دفع 43 BNB بالإضافة إلى 69 BNB إلى 48club-puissant-builder، مما أدى إلى ربح نهائي يقدر بـ 340 ألف دولار"، مضيفًا أن معاملة أخرى في نفس الكتلة فشلت أيضًا في الموضع 52، على الأرجح بسبب قيام المهاجم بتنفيذها مسبقًا.
القروض السريعة على Swapcakeللمستخدمين اقتراض مبالغ كبيرة من الأصول المشفرة بدون ضمانات؛ ومع ذلك، يجب سداد المبلغ المقترض بالإضافة إلى الرسوم ضمن نفس كتلة المعاملة.
تُستخدم هذه الأدوات بشكل أساسي في استراتيجيات المراجحة والتصفية على سلسلة Binance الذكية، وعادةً ما يتم تسهيل القروض من خلال وظيفة التبديل السريع لـ PancakeSwap V3.
تم رصد هجوم آخر على القروض السريعة قبل
ثغرة أمنية سمحت لمهاجم بسحب ما يقرب من 138.6 WBNBBNBBNB BNBBNBcakeSwap لزوج DMi/WBNBBNB BNBBNB ، محققًا ما يقرب من 120,000 دولار.
أظهر هذا الهجوم كيف يمكن استخدام مزيج من القروض السريعة والتلاعب بالاحتياطيات الداخلية لزوج AMM عبر وظائف sync() و callback لاستنزاف المجموعة بالكامل.
قام المهاجم أولاً بإنشاء عقد الاستغلالtractractractractractractractractractractractractractractractractracflashLoan من Moolah، ويطلب ما يقرب من 102,693 WBNB.
عند استلام القرض السريع،tracباستدعاء يبدأ دالة onMoolahFlashLoan(…). أول ما تقوم به هذه الدالة هو معرفة رصيد رمز DMi في مجمع Pancakecakeاستعدادًا لمعالجة احتياطي الزوج.
تجدر الإشارة إلى أن الثغرة الأمنية ليست في القرض السريع، ولكن فيtracتبديلcake، مما يسمح بالتلاعب بالاحتياطيات من خلال مزيج من التبديل السريع و sync() دون حماية ضد عمليات الاستدعاء الخبيثة.
لا تكتفِ بقراءة أخبار العملات الرقمية، بل افهمها. اشترك في نشرتنا الإخبارية، إنها مجانية.
إخلاء مسؤولية: المعلومات الواردة هنا ليست نصيحة استثمارية. Cryptopolitanموقع أي مسؤولية عن أي استثمارات تتم بناءً على المعلومات الواردة في هذه الصفحة. ننصحtrondentdentdentdentdentdentdentdent /أو استشارة مختص مؤهل قبل اتخاذ أي قرارات استثمارية.
دورة
- أي العملات المشفرة يمكن أن تدر عليك المال
- كيفية تعزيز أمانك باستخدام المحفظة الإلكترونية (وأي منها يستحق الاستخدام فعلاً)
- استراتيجيات استثمارية غير معروفة يستخدمها المحترفون
- كيفية البدء في الاستثمار في العملات المشفرة (أي منصات التداول التي يجب استخدامها، وأفضل العملات المشفرة للشراء، إلخ)