رسالة من ChainCatcher، وفقًا لمراقبة BlockSec، تعرض عقد DBXen لهجوم صباح اليوم، بخسائر مقدرة بحوالي 150 ألف دولار. السبب الجذري هو عدم اتساق هوية المرسل تحت المعاملات الميتا ERC2771. في دالة burnBatch()، يستخدم المُعدّل gasWrapper() _msgSender() (المستخدم الفعلي) لتحديث الحالة، بينما تستخدم دالة الاستدعاء onTokenBurned() msg.sender (المُوجِّه). هذا يؤدي إلى تسجيل accCycleBatchesBurned باسم المستخدم، بينما يتم تحديث lastActiveCycle بشكل خاطئ باسم المُوجِّه. هذا عدم الاتساق يُعطل منطق دالتَي claimFees() و claimRewards(). عند تشغيل updateStats() للمستخدم، يُخطئ العقد في الاعتقاد بوجود مجموعات محروقة غير معالجة، لأن accCycleBatchesBurned تم تحديثه بينما لم يُحدَّث lastActiveCycle، مما يؤدي إلى حساب خاطئ للجوائز والرسوم، ويسمح للمهاجم باستخراج أموال زائدة لتحقيق ربح.
استغلال عقد DBXen، وتشير التقديرات إلى خسارة قدرها 150,000 دولار
Chaincatcherمشاركة
ملخص
تم استغلال عقد DBXen اليوم، مع خسائر مقدرة بـ 150,000 دولار. جاءت المشكلة من عدم توافق في تحديد المرسل ضمن المعاملات الميتا وفق معيار ERC2771. استخدمت وظيفة burnBatch() _msgSender() داخل gasWrapper()، بينما استخدمت onTokenBurned() msg.sender، مما تسبب في تتبع غير صحيح للمستخدمين. هذا أدى إلى أخطاء في حساب المكافآت والرسوم في claimFees() وclaimRewards(). يُظهر تحديث ETH المخاطر المستمرة المرتبطة بالعقود الذكية. يُبرز تحديث BTC الحاجة إلى مراجعات أمنية مستمرة.
المصدر:عرض النسخة الأصلية
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة قد حصلت عليها من أطراف ثالثة ولا تعكس بالضرورة وجهات نظر أو آراء KuCoin. يُقدّم هذا المحتوى لأغراض إعلامية عامة فقط ، دون أي تمثيل أو ضمان من أي نوع ، ولا يجوز تفسيره على أنه مشورة مالية أو استثمارية. لن تكون KuCoin مسؤولة عن أي أخطاء أو سهو ، أو عن أي نتائج ناتجة عن استخدام هذه المعلومات.
يمكن أن تكون الاستثمارات في الأصول الرقمية محفوفة بالمخاطر. يرجى تقييم مخاطر المنتج بعناية وتحملك للمخاطر بناء على ظروفك المالية الخاصة. لمزيد من المعلومات، يرجى الرجوع إلى شروط الاستخدام واخلاء المسؤولية.