مدققان يفتقدان عيب Penpie بقيمة 27 مليون دولار، خطأ “المطالبة بالمكافآت” في Pythia: Crypto-Sec

25



ضربت بيثيا بهجوم إعادة الدخول

تم استنزاف بروتوكول التمويل اللامركزي Pythia Finance بمبلغ 53000 دولار من خلال هجوم إعادة الدخول في 3 سبتمبر، وفقًا لتقرير صادر عن شركة أمان blockchain Quill Audits. Pythia هو مشروع خوارزمي للعملة المستقرة يهدف إلى استخدام الذكاء الاصطناعي لإدارة خزينتها.

وقام المهاجم باستدعاء وظيفة “المطالبة بالمكافآت” بشكل متكرر، دون السماح بتحديث رصيد المكافآت بعد كل مكالمة، مما يسمح له بجمع مكافآت أكثر مما يحق له الحصول عليها.

حسب وفقًا للتقرير، تمكن المهاجم من استدعاء هذه الوظيفة بشكل متكرر وبتسلسل سريع لأن Pythia استدعت وظيفة “النقل الآمن” الخاصة بالرمز المميز عند توزيع المكافآت. وبالتالي، يمكن لعقد رمزي ضار أن يعيد الاتصال بـ Pythia، مما يتسبب في إعادة Pythia الاتصال بها مرة أخرى، ويؤدي إلى تفاعل متسلسل يمكن أن يستنزف أموال البروتوكول.

لقطة شاشة لتقرير التدقيق الجزئي لشركة Pythia. (بيثيا / العاشر).

تقرير التدقيق الجزئي لشركة Quill Audits لشركة Pythia يظهر لا توجد مشكلات أمنية لم يتم حلها، مما يعني أن الفريق ربما قام بترقية العقد لمنع أي استخدام آخر لهذا الاستغلال.

يعد هجوم إعادة الدخول، الذي يستدعي فيه المهاجم وظيفة بشكل متكرر دون السماح بتنفيذ التعليمات البرمجية الخاصة بها بالكامل، أحد أكثر أنواع عمليات استغلال العقود الذكية شيوعًا.

Zyxel ثغرة أمنية حرجة

في 4 سبتمبر، كشفت شركة Zyxel المصنعة لأجهزة الشبكات عن ثغرة أمنية حرجة في بعض أجهزة الشبكات الخاصة بها والتي كان من الممكن أن تسمح للمهاجمين بتنفيذ تعليمات برمجية على أجهزة التوجيه ونقاط الوصول الخاصة بالمستخدم، مما قد يسمح للمتسللين بالوصول إلى أجهزة المستخدمين.

وفقًا لما تم الكشف عنه، كانت الثغرة الأمنية نتيجة “التحييد غير الصحيح للعناصر الخاصة في المعلمة “المضيف” في برنامج CGI” للعديد من إصدارات البرامج الثابتة المختلفة. وبسبب هذا التحييد غير المناسب، فإن إصدارات البرامج الثابتة هذه “قد تسمح لمهاجم غير مصادق بتنفيذ أوامر نظام التشغيل عن طريق إرسال ملف تعريف ارتباط معد إلى جهاز ضعيف.”

يجب على مستخدمي محفظة التشفير توخي الحذر بشكل خاص بشأن الهجمات المحتملة على شبكاتهم المنزلية. إذا تمكن أحد المهاجمين من الوصول إلى الشبكة المنزلية للمستخدم، فيمكنه استخدام هذا الوصول لإعادة توجيه حركة مرور المستخدم من خلال انتحال DNS، أو عرض أي بيانات غير مشفرة يتم إرسالها عبر الشبكة، أو استخدام فحص الحزمة العميق لفك تشفير البيانات المشفرة. يمكن استخدام البيانات التي تم الحصول عليها لهجمات الهندسة الاجتماعية لإقناع المستخدم بالموافقة على المعاملات أو مشاركة مفاتيحه الخاصة.

لقد زيكسيل متاح قائمة بالأجهزة التي يحتمل أن تتأثر، والتي تشمل NWA50AX PRO وNWA90AX وWAC500 ونقاط الوصول الأخرى، بالإضافة إلى جهاز التوجيه USG LITE 60AX. نصحت الشركة المصنعة مستخدمي هذه الأجهزة بترقية البرامج الثابتة الخاصة بهم.

أنشأ مستغل Penpie سوق Pendle المزيف

أصبح استغلال Penpie الذي تبلغ قيمته 27 مليون دولار ممكنًا بسبب خلل سمح لأي مستخدم بإنشاء سوق Pendle، وفقًا لتقرير صدر في 4 سبتمبر من شركة Zokyo لأمن blockchain. ويدعي التقرير أن نسخة سابقة من البروتوكول تمت مراجعتها بواسطة Zokyo ولكنها لم تحتوي على الخلل في ذلك الوقت.

بينبي يتضمن وذكر التقرير أن وظيفة تسمى “registerPenpiePool” يمكن استخدامها لتسجيل عنوان مجمع جديد وسوق Pendle. لمنع الأسواق الضارة من التسجيل، فهو يحتوي على مُعدِّل يتحقق لمعرفة ما إذا كان سوق Pendle مدرجًا بالفعل في عقد المصنع الخاص بشركة Pendle Finance. إذا لم يكن مدرجًا في عقد المصنع هذا، فلا يمكن تسجيله. ومع ذلك، يمكن لأي مستخدم إدراج سوقه في عقد المصنع عن طريق استدعاء وظيفة createNewMarket في عقد المصنع. وفقًا للتقرير، هذا يعني بشكل أساسي أنه يمكن لأي مستخدم إنشاء Pendle Market وتسجيله.

استغل المهاجم هذه الثغرة الأمنية لإنشاء سوق Pendle ومجمّع مزيفين، حيث تم تكوينهما لتوفير رموز Pendle المميزة كمكافآت.

وظيفة Pendle Finance createNewMarket. (زوكيو).

يحتوي البروتوكول أيضًا على خلل في إعادة الدخول يسمح لأي سوق بإيداع الرموز بشكل متكرر وقبل أن يتم تحديث الأرصدة الأخرى. قام المهاجم باستدعاء وظيفة الإيداع مرارًا وتكرارًا، مما أدى إلى تضخيم المكافآت التي سيتم الحصول عليها بشكل مصطنع. ثم قاموا بسحب الوديعة والمطالبة بالمكافآت، مما أدى إلى استنفاد البروتوكول الذي يزيد عن 27 مليون دولار.

وفقًا للتقرير، كان هناك خلل في إعادة الدخول في النسخة التي قام زوكيو بمراجعتها. ولكن في هذا الإصدار، كان فريق البروتوكول فقط هو القادر على تسجيل مجمع وسوق جديدين، الأمر الذي كان ينبغي أن يمنع مهاجمًا خارجيًا من الاستفادة منه. وجاء في التقرير:

“لم يكن من المتوقع أن تكون المعلمة _market التي تم تلقيها في طريقة BatchHarvestMarketRewards(…) ضارة كما هو الحال في الإصدار السابق من الكود الذي تم تدقيقه بواسطة Zokyo، فقط المالك (متعدد التوقيعات) يمكنه تسجيل المجموعة.”

وفي تقرير منفصل نُشر يوم 3 سبتمبر، فريق Penpie ادعى أنها أدخلت “تسجيل المجمع بدون إذن” بعد عام تقريبًا من قيام شركة Zokyo بمراجعتها. وفي ذلك الوقت، قامت بتعيين شركة AstraSec الأمنية لتدقيق نظام التسجيل الجديد. ومع ذلك، كانت العقود الجديدة فقط هي التي تدخل في نطاق هذه المراجعة. نظرًا لأن الاستغلال نتج عن تفاعل بين عقدين مختلفين تم تدقيقهما من قبل فريقين مختلفين، لم يتمكن أي منهما من اكتشاف الثغرة الأمنية. ادعت Penpie أنها ستقوم “بعمليات تدقيق دورية للبروتوكول بأكمله” في المستقبل لضمان عدم تكرار مثل هذه الحوادث مرة أخرى.

Penpie هو بروتوكول تمويل لامركزي يحاول توفير زيادة في العائد لمستخدمي Pendle Finance. استغلال ضدها حدث في 3 سبتمبر.

كريستوفر رورك

يقول البعض إنه قرصان ذو قبعة بيضاء يعيش في تلال التعدين السوداء في داكوتا ويتظاهر بأنه حارس عبور الأطفال لإبعاد رائحة وكالة الأمن القومي. كل ما نعرفه هو أن كريستوفر رورك لديه رغبة مرضية في مطاردة المحتالين والمتسللين.

اقرأ أيضا


ملخص هودلر

تحارب Coinbase هيئة الأوراق المالية والبورصات في المحكمة، ويسعى والدا SBF إلى رفض الدعوى القضائية، وصناديق الاستثمار المتداولة في Bitcoin: Hodler’s Digest، 14-20 يناير

بواسطة
هيئة التحرير

7 دقائق
20 يناير 2024

تتواجه Coinbase وSEC في جلسة الاستماع، ويسعى والدا Sam Bankman-Fried إلى طرده من العمل، وأيام التداول الأولى لصناديق Bitcoin ETFs.

اقرأ المزيد


ملخص هودلر

هيئة الأوراق المالية والبورصة تقاضي Do Kwon وPaxos على استعداد لرفع دعوى قضائية، شبكة SBF VPN: Hodler’s Digest، 12-18 فبراير

بواسطة
هيئة التحرير

6 دقائق
18 فبراير 2023

أهم الأخبار هذا الأسبوع “تختلف شركة Paxos بشكل قاطع” مع هيئة الأوراق المالية والبورصة بشأن اعتبار BUSD بمثابة ورقة مالية. وقد حددت هيئة الأوراق المالية والبورصات الأمريكية (SEC) العملة المستقرة Binance USD (BUSD) كأوراق مالية في إشعار ويلز الذي تم إرساله إلى مصدرها، Paxos Trust. شركة. تزعم هيئة الأوراق المالية والبورصة أن المنظمة فشلت في تسجيل BUSD بموجب القانون الفيدرالي (…)

اقرأ المزيد