SHERLOCK
SHERLOCK
USDC‏‎‎-0.01‎%‎‏
مرحبا بكم في تسليط الضوء على نقاط الضعف في شيرلوك! كل أسبوع ، سنسلط الضوء على ثغرة أمنية مؤثرة اكتشفها باحثونا أثناء تدقيق شيرلوك. هذا الأسبوع لدينا سحب مفرط عن طريق التكوين الخاطئ. تم العثور عليها بواسطة @bin2chen و @TheCHADuke و iglyx و @tapired و @xiaoming9090 و @0xleastwood في مسابقة @NotionalFinance V3.
Gallery 1
إذا كان الرصيد الحالي هو 999,900 USDC وكان withdrawAmountExternal هو 1,000,000 USDC ، فلا يوجد رصيد كاف في العقد ، ويجب سحب أموال إضافية من سوق المال (على سبيل المثال ، المركب).
Gallery 1
نظرا لأن العقد يحتوي بالفعل على 999,900 USDC ، فلا يلزم سحب سوى 100 USDC إضافية من سوق المال لتلبية طلب السحب البالغ 1,000,000 USDC
ومع ذلك ، بدلا من سحب 100 USDC من سوق المال ، تسحب Notional 1,000,000 USDC من السوق وفقا لوظيفة oracle.getRedemptionCalldata (withdrawAmountExternal). نتيجة لذلك ، يتم سحب فائض قدره 999,900 USDC من سوق المال.
ما هو التأثير؟ أدى ذلك إلى تباطؤ كمية زائدة من الأصول في الوضع الاسمي وعدم توليد أي عوائد أو فائدة في سوق المال ، مما أدى إلى خسارة كبيرة في العائد للمستخدمين لأنهم سيحصلون على سعر فائدة أقل من المتوقع ويتكبدون خسارة في الفرصة.
يمكن للمهاجمين إساءة استخدام هذا لسحب الأموال المستثمرة في سوق المال ، مما يؤدي إلى الحزن وخسارة مذهلة في العوائد / الفائدة للبروتوكول.
الإصلاح: بشكل أساسي ، قبل الإصلاح ، كان الكود يقول أوراكل: "قم بإعداد خطوات لسحب كل ما يريده المستخدم من سوق المال". عندما كان يجب أن تقول ، "فقط اسحب ما نفتقده من سوق المال".
Gallery 1
بعد الإصلاح ، على سبيل المثال السابق ، يظل 999,900 USDC الذي يحتفظ به العقد بالفعل كما هو ويستمر في جني العائد ، وتحسين الكفاءة ، والحفاظ على العوائد لجميع المستخدمين.
نشأت هذه الثغرة الأمنية من عيب منطقي دقيق في كيفية حساب مبالغ السحب وتمريرها. من خلال التغاضي عن الرصيد الحالي للعقد ، قام النظام بسحب الأموال المفرطة دون داع من سوق المال ، مما أدى إلى عدم كفاءة رأس المال وخسارة العائد. نحن فخورون بأننا ساعدنا في تأمين Notional من خلال هذا الاكتشاف. عندما تحتاج إلى أن تكون آمنة تماما ، فإن شيرلوك هو الخيار الصحيح.
عرض الأصل
المصدرtwitter
‏‎3.04 ألف‏
‏‎39‏
المحتوى الوارد في هذه الصفحة مُقدَّم من أطراف ثالثة. وما لم يُذكَر خلاف ذلك، فإن OKX ليست مُؤلِّفة المقالة (المقالات) المذكورة ولا تُطالِب بأي حقوق نشر وتأليف للمواد. المحتوى مٌقدَّم لأغراض إعلامية ولا يُمثِّل آراء OKX، وليس الغرض منه أن يكون تأييدًا من أي نوع، ولا يجب اعتباره مشورة استثمارية أو التماسًا لشراء الأصول الرقمية أو بيعها. إلى الحد الذي يُستخدَم فيه الذكاء الاصطناعي التوليدي لتقديم مُلخصَّات أو معلومات أخرى، قد يكون هذا المحتوى الناتج عن الذكاء الاصطناعي غير دقيق أو غير مُتسِق. من فضلك اقرأ المقالة ذات الصِلة بهذا الشأن لمزيدٍ من التفاصيل والمعلومات. OKX ليست مسؤولة عن المحتوى الوارد في مواقع الأطراف الثالثة. والاحتفاظ بالأصول الرقمية، بما في ذلك العملات المستقرة ورموز NFT، فيه درجة عالية من المخاطر وهو عُرضة للتقلُّب الشديد. وعليك التفكير جيِّدًا فيما إذا كان تداوُل الأصول الرقمية أو الاحتفاظ بها مناسبًا لك في ظل ظروفك المالية.