KyberSwap تعاني من خسارة 46 مليون دولار: داخل استغلال "خلل المال اللانهائي" المعقد
Summary:
قام دوغلاس كولكيت ، مؤسس Ambient Exchange ، بتفصيل كيفية تنفيذ الاختراق الأخير بقيمة 46 مليون دولار من KyberSwap باستخدام "خلل مالي لا نهائي" ، وهو استغلال للتنفيذ الفريد للبورصة اللامركزية لميزة السيولة المركزة. بعد اقتراض كمية كبيرة من العملات المشفرة ، تلاعب المتسلل بالسعر ، ونفذ سلسلة من عمليات الإيداع والسحب والمقايضات المحسوبة ، وتمكن أخيرا من خداع النظام لمضاعفة حساب السيولة ، مما أدى إلى أرباح كبيرة. أدى الاستغلال ، الذي يوصف بأنه واحد من أكثر المآثر تطورا من نوعه ، إلى خسارة إجمالية قدرها 46 مليون دولار من مجمعات KyberSwap المتعددة. على الرغم من آليات السلامة المعمول بها ، فإن القيم العددية الدقيقة التي اختارها المهاجم سمحت لهم بتجاوز تدابير الوقاية.
تم استغلال عقد ذكي معقد بذكاء من قبل مجرم إلكتروني لسحب 46 مليون دولار من KyberSwap ، وفقا لتحليل أجراه مؤسس Ambient Exchange ، دوغ كولكيت ، الذي تمت مشاركته في سلسلة من وسائل التواصل الاجتماعي. هذه المناورة المتقنة التي صاغها كولكيت على أنها "خلل مالي لا نهائي" خدعت العقد لتسجيل سيولة أكثر مما كان موجودا بالفعل من خلال التلاعب بميزة السيولة المركزة الفريدة في KyberSwap.
عادة ما تقدم البورصات اللامركزية (DEXs) ميزة "السيولة المركزة" ، مما يمكن مزودي السيولة من تحديد نطاق سعري مسبق لمعاملات العملة المشفرة الخاصة بهم. استفاد المهاجم من هذه الميزة على KyberSwap لاستخراج الأموال ، على الرغم من أن Colkitt يشتبه في أن هذه المنهجية من المحتمل أن تكون غير فعالة على DEXs الأخرى نظرا لخصوصيتها في تنفيذ Kyber.
شن الدخيل المزعوم سلسلة من الهجمات المتطابقة على حمامات فردية. يستخدم كولكيت تحليلا لتجمع ETH / wstETH لشرح الميكانيكا. اقترض المهاجم 10000 واط (حوالي 23 مليون دولار في ذلك الوقت) من منصة القروض السريعة Aave، وشرع في إغراق المجمع برموز بقيمة 6.7 مليون دولار، مما أدى إلى انخفاض الأسعار. وبحسب ما ورد فإن الإجراءات اللاحقة التي تنطوي على عمليات إيداع وسحب من المهاجم قد نظمت سلسلة من الحسابات العددية التي من شأنها أن تفيد نهاية اللعبة.
بعد هذا الإعداد ، تم إجراء مقايضات متعددة. يبدو أن مقايضتين عديمة الفائدة وتهدف إلى التداول ضمن الحدود المحددة للمهاجم تحدد أسعارا أعلى وأقل من عتبة السيولة للمهاجم. عادة ، سيكون هذا غير مثمر ، كما ذكر كولكيت ، الذي أكد أنه بدون أخطاء عددية ، فإن مثل هذه الإجراءات لن تسبب سوى معاملات محصلتها صفر.
ومع ذلك ، فإن خصوصية في حساب التفاضل والتكامل المستخدم في تحديد حدود النطاق السعري قلبت الترتيب النموذجي. أدت التفسيرات الخاطئة لأول مقايضتين والأخيرة إلى حساب المجمع للسيولة الأصلية مرتين عن طريق الخطأ ، مما مكن المتسلل من الحصول على عوائد كبيرة مقابل الحد الأدنى من استثمار ETH. على الرغم من الاضطرار إلى تفريغ بعض العملات المسروقة في البداية ، تمكن مجرم الإنترنت من تأمين ربح كبير بعد سداد قرض الفلاش.
وبحسب ما ورد قام المستغل بتكرار هذا المخطط عبر العديد من مجمعات KyberSwap ، وبلغت ذروتها في إجمالي 46 مليون دولار من العملات المشفرة. وبحسب ما ورد كان لدى KyberSwap آليات أمان مدمجة في وظيفة computeSwapStep الخاصة بها المصممة لإحباط مثل هذه الهجمات ، لكن التلاعب الذكي من جانب الجاني سمح لهم بتجاوز طريقة الوقاية هذه عن طريق ضبط القيم العددية أثناء المبادلة.
وصفه كولكيت بأنه الاستغلال الأكثر تطورا للعقود الذكية الذي شهده على الإطلاق ، وهو أمر آخر في سجل KyberSwap ، مع اكتشاف ثغرة أمنية سابقة في أبريل لم تسفر عن أي خسائر ، واختراق واجهة المستخدم في سبتمبر ، حيث تم تعويض جميع المستخدمين المتضررين. ومع ذلك، يبدو أن هناك أملا في التوصل إلى حل ما، حيث أفيد بأن الجاني في تشرين الثاني/نوفمبر أشار إلى انفتاحه على بعض المفاوضات بشأن الاسترداد.
Published At
11/23/2023 5:58:07 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.