التحليل الفني لهجوم هاكر على منصة التمويل اللامركزي Balancer

مؤخراً، تعرض منصة التمويل اللامركزي التي اكتسبت شهرة بسبب نموذج "الإقراض هو التعدين" لهجوم هاكر. استغل المهاجمون ثغرة في بركة الرموز القابلة للتخفيض ERC20 STA و STONK الموجودة على المنصة، مما أدى إلى خسائر تزيد عن 500,000 دولار.

بعد تحليل خبراء الأمن، تم اكتشاف أن جذور المشكلة تكمن في عدم التوافق بين الرموز الانكماشية على المنصة وعقودها الذكية في ظروف معينة. وهذا يتيح للمهاجمين إنشاء تجمعات تداول رمزية مع انحرافات سعرية وتحقيق الأرباح منها.

تتكون عملية الهجوم بشكل رئيسي من أربع خطوات:

1. المهاجم حصل على كمية كبيرة من WETH كقرض فوري من منصة اقتراض معينة.

2. يقوم المهاجم بتنفيذ swapexactMountin() مرارًا وتكرارًا، حتى يتم استنزاف معظم رموز STA التي تمتلكها المنصة المستهدفة، للتحضير للخطوة التالية للهجوم.

3. من خلال الاستفادة من عدم توافق رمز STA والعقود الذكية، أي عدم تطابق السجلات والرصيد، تمكن المهاجم من استنفاد الأصول الأخرى في حوض التمويل، مما أدى في النهاية إلى تحقيق أرباح تزيد عن 520,000 دولار.

4. قام المهاجم بسداد القرض الفوري ونقل الأصول الرقمية التي حصل عليها من الهجوم.

!

في الخطوة الثانية من الهجوم، قام المهاجم بذكاء بتقليل كمية STA المتبقية في المنصة إلى حدٍ أدنى، مما أدى إلى ارتفاع غير طبيعي في قيمة STA. بعد ذلك، استغل المهاجم آلية رسوم المعاملات عند تحويل الرموز، مما تسبب في عدم تطابق العدد الفعلي لـ STA المستلمة على المنصة مع السجلات الداخلية.

!

من خلال استدعاء دالة gulp() بشكل متكرر لإعادة تعيين المحاسبة الداخلية، تمكن المهاجم من الاستمرار في تبادل كميات صغيرة جداً من STA مقابل كميات كبيرة من الأصول الأخرى، حتى استنفاد الأصول مثل WETH وSNX وLINK في بركة السيولة.

!

كشفت هذه الحادثة مرة أخرى عن مخاطر التوافق الموجودة في قابلية تجميع DeFi. لتجنب هجمات مماثلة، يُنصح بـ:

1. يجب أن يتم التراجع مباشرة أو إرجاع False عند تحويل الرموز الانكماشية عندما يكون المبلغ غير كافٍ لدفع رسوم المعاملة.

2. يجب على منصة التمويل اللامركزي التحقق من الرصيد الفعلي بعد كل استدعاء لدالة transferFrom().

!

الأهم من ذلك، يجب على مطوري مشاريع التمويل اللامركزي اتباع معايير برمجية جيدة وإجراء اختبارات أمان شاملة قبل الإطلاق. في الوقت نفسه، فإن إجراء فحص شامل للتوافق مع معايير الرموز المختلفة وسلوكيات مشاريع التمويل اللامركزي أمر بالغ الأهمية.

!

تسببت هذه الهجمة في خسائر تقدر بحوالي 523,000 دولار، وشملت مجموعة متنوعة من الأصول الرقمية. لا شك أن هذا سيؤثر على نظام DeFi البيئي بأسره، ويذكر المطورين بضرورة إيلاء أهمية لأمان العقود الذكية. مع التطور السريع في مجال DeFi، قد تستمر مثل هذه الأحداث الأمنية في الحدوث، لذا فإن تعزيز الوعي الأمني والتدابير الفنية يصبح أمرًا بالغ الأهمية.

!

!

!

!