لا هاكر نعم بوابة
في الآونة الأخيرة ، تم اختراق @GMX_IO منصة DeFi رئيسية على شبكة @arbitrum ، مما أدى إلى سرقة أصول بقيمة 42 مليون دولار! 😵
@PortaltoBitcoin إعطاء تفصيل رائع لكيفية تحقيق هذا الاستغلال الهائل.
للتغلب على العدو ، يجب عليك أولا فهمه!
دعونا نلقي نظرة سريعة !
1️⃣ كيف حدث الاختراق؟
يحتوي GMX V1 على مجمع سيولة يسمى GLP ، والذي يحتفظ بأصول مثل ETH و BTC و USDC المودعة من قبل المستخدمين.
استخدم المتسلل الطريقة التالية
➡️ هجوم إعادة الدخول
هذه تقنية يتم فيها استدعاء وظيفة العقد الذكي بشكل متكرر قبل تحديث الرصيد ، مما يسمح بتسلل عمليات متعددة دون أن يتم اكتشافها.
باستخدام هذا ، قام المهاجم بسك كمية هائلة من رموز GLP المزيفة (بشكل أساسي مثل طباعة قسائم مزيفة غير محدودة)
ثم تم استبدال هذه الرموز المزيفة بأصول حقيقية (ETH و BTC و USDC) وسحبها. 🫣
أخيرا ، تم ربط الأموال المسروقة بشبكات أخرى مثل شبكة Ethereum الرئيسية.
هنا إي لأقول
قاموا بطباعة إيصالات مزيفة ، واستبدلوها بأموال حقيقية ، واختفوا.
2️⃣ لماذا نجح هذا الهجوم؟
تم تصميم GMX V1 باستخدام بنية DeFi نموذجية
مجمع السيولة المشتركة: يتم تخزين جميع أصول المستخدمين في عقد واحد.
رموز Mint / Burn LP: تستخدم لتتبع توفير السيولة.
منطق معقد على السلسلة: يعالج الأرصدة والمقايضات والتصفية والمزيد ضمن نفس العقد.
هذا التصميم المقترن بإحكام يجعله عرضة لهجمات إعادة الدخول حيث يمكن للمتسلل التسلل في مكالمات متكررة قبل أن يقوم النظام بتحديث الأرصدة.
على الرغم من أن GMX خضعت لعمليات تدقيق متعددة ،
لا تزال المخاطر على مستوى التصميم مثل الأموال المجمعة + المنطق المعقد + ثغرة أمنية إعادة الدخول قائمة
لذلك ، في حين أن عمليات التدقيق يمكن أن تقلل من الأخطاء ، إلا أنها لا تستطيع القضاء على نقاط الضعف الهيكلية وهذا ما أدى إلى هذه الكارثة. 🥲
3️⃣ كيف يمكن منع ذلك؟
الجواب يكمن في ما @PortaltoBitcoin يبنيه
المقايضات الذرية
إليك كيفية اختلاف المقايضات الذرية:
❌ لا توجد مجمعات سيولة.
✅ تبقى الأصول في محفظتك.
✅ يتم تنفيذ المبادلة فقط إذا تم استيفاء جميع الشروط.
✅ إذا فشل أي شيء ، تعود أموالك تلقائيا.
✅ لا يحتاج أي عقد إلى الاحتفاظ بالأموال أو تحديث الحالة
مع هذه الإعدادات
1⃣لا يوجد قبو للسرقة
2⃣لا يمكن سك الرموز المزيفة
3⃣وتصبح هجمات إعادة الدخول مستحيلة
إنه في الأساس الدرع النهائي ضد المتسللين!
مع تزايد اختراقات DeFi ، تتجه العديد من المشاريع الآن نحو هذا النوع من المقايضات الذرية للهندسة المعمارية ، والوصاية الذاتية لأصول المستخدم ، والتصميمات المقاومة لإعادة الدخول
هذا هو السبب في أن المستقبل يبدو مشرقا للغاية بالنسبة @PortaltoBitcoin
لم يكن من الضروري أن يحدث استغلال GMX البالغ 42 مليون دولار على Arbitrum.
هل يمكن لاختيار تصميم واحد أن ينقذ GMX ومزودي LP الخاص بها؟
إليك بالضبط ما حدث ، ولماذا يستمر في حدوثه في DeFi ، وكيف كانت المقايضات الذرية ستمنعه تماما ، ELI5 Style 🧵⤵️
6.81 ألف
74
المحتوى الوارد في هذه الصفحة مُقدَّم من أطراف ثالثة. وما لم يُذكَر خلاف ذلك، فإن OKX ليست مُؤلِّفة المقالة (المقالات) المذكورة ولا تُطالِب بأي حقوق نشر وتأليف للمواد. المحتوى مٌقدَّم لأغراض إعلامية ولا يُمثِّل آراء OKX، وليس الغرض منه أن يكون تأييدًا من أي نوع، ولا يجب اعتباره مشورة استثمارية أو التماسًا لشراء الأصول الرقمية أو بيعها. إلى الحد الذي يُستخدَم فيه الذكاء الاصطناعي التوليدي لتقديم مُلخصَّات أو معلومات أخرى، قد يكون هذا المحتوى الناتج عن الذكاء الاصطناعي غير دقيق أو غير مُتسِق. من فضلك اقرأ المقالة ذات الصِلة بهذا الشأن لمزيدٍ من التفاصيل والمعلومات. OKX ليست مسؤولة عن المحتوى الوارد في مواقع الأطراف الثالثة. والاحتفاظ بالأصول الرقمية، بما في ذلك العملات المستقرة ورموز NFT، فيه درجة عالية من المخاطر وهو عُرضة للتقلُّب الشديد. وعليك التفكير جيِّدًا فيما إذا كان تداوُل الأصول الرقمية أو الاحتفاظ بها مناسبًا لك في ظل ظروفك المالية.