1 / 🚨 كسر: @SuperRare يعاني من استغلال 730 ألف دولار على Ethereum
استفاد المهاجم من ثغرة أمنية في التحقق من الإذن لنقل الأصول بنجاح ، مما أدى إلى خسارة ما يقرب من 730 ألف دولار أمريكي.
🛡️ الإجراءات الموصى بها:
➡️ للمشاريع
- تنفيذ عمليات التحقق من الأذونات المدركة للسياق
- اختبار وحدة صارم لمنطق ACL
- تدقيق الوظائف الهامة لتغيير الحالة
➡️للمستخدمين:
- مراقبة @SuperRare للحصول على التحديثات
- الحد من تفاعلات العقد حتى يتم تأكيد الإصلاح
2 / 🧯 تحليل الثغرات الأمنية
فحص الأذونات المعيب في updateMerkleRoot الدالة:
→ سمح لأي عنوان باستثناء المالك / 0xc2F394 بتعديل currentClaimRoot.
3 / ⚡ فعل المهاجم:
- تم تحديث MerkleRoot
- طريقة المطالبة المسماة
- تجاوز التحقق من الصحة باستخدام الجذر الضار
- تم استنزاف الرموز المميزة لعنوان الاستلام
4 / ⚔️عنوان المهاجم: 0x5b9b4b4dafbcfceea7afba56958fcbb37d82d4a2
📝عقد الهجوم: 0x2073111e6ebb6826f7e9c6192c6304aa5af5e340
🚩العقد المستغل: 0x3f4d749675b3e48bccd932033808a7079328eb48
📂هجوم Tx:
📦عنوان استلام الأصول: 0x08947cedf35f9669012bda6fda9d03c399b017ab
5.96 ألف
17
المحتوى الوارد في هذه الصفحة مُقدَّم من أطراف ثالثة. وما لم يُذكَر خلاف ذلك، فإن OKX ليست مُؤلِّفة المقالة (المقالات) المذكورة ولا تُطالِب بأي حقوق نشر وتأليف للمواد. المحتوى مٌقدَّم لأغراض إعلامية ولا يُمثِّل آراء OKX، وليس الغرض منه أن يكون تأييدًا من أي نوع، ولا يجب اعتباره مشورة استثمارية أو التماسًا لشراء الأصول الرقمية أو بيعها. إلى الحد الذي يُستخدَم فيه الذكاء الاصطناعي التوليدي لتقديم مُلخصَّات أو معلومات أخرى، قد يكون هذا المحتوى الناتج عن الذكاء الاصطناعي غير دقيق أو غير مُتسِق. من فضلك اقرأ المقالة ذات الصِلة بهذا الشأن لمزيدٍ من التفاصيل والمعلومات. OKX ليست مسؤولة عن المحتوى الوارد في مواقع الأطراف الثالثة. والاحتفاظ بالأصول الرقمية، بما في ذلك العملات المستقرة ورموز NFT، فيه درجة عالية من المخاطر وهو عُرضة للتقلُّب الشديد. وعليك التفكير جيِّدًا فيما إذا كان تداوُل الأصول الرقمية أو الاحتفاظ بها مناسبًا لك في ظل ظروفك المالية.