شركة أمان سلسلة الكتل SlowMist (الضباب البطيء) أصدرت تحذيرًا أمنيًا اليوم (3/18)، كشفت عن حادث هجوم مستهدف على مشروع Four.meme. استطاع القراصنة تجاوز الحدود التجارية بنجاح من خلال ثغرات في آلية العقود الذكية في PancakeSwap، وسرقة السيولة بنجاح أيضًا. هذا أيضًا يلقي بظلال على نشاط توزيع الميمات الذي بدأ في الاستفتاء خلال الأيام القليلة الماضية.
تحليل أساليب الهجوم: شراء الرموز غير المدرجة مسبقًا لتجاوز قيود التداول
وفقًا لتحليل SlowMist، قام المهاجم بشراء كمية صغيرة من الرموز الناشئة في مرحلة ( للصفقات الداخلية في منصة Four.meme قبل إصدار عملات معماة جديدة متعددة. يتيح للقراصنة هذه الخطوة الحصول على كمية معينة من الرموز قبل أن يتم إطلاقها رسميًا على PancakeSwap، مما يمهد الطريق للهجمات في وقت لاحق.
الثغرات الرئيسية: إيداع الرموز في عنوان زوج التداول غير المنشأ
المهاجم يستخدم وظيفة 0x7f79f6df لإرسال الرموز الناشئة إلى عنوان زوج تداول PancakeSwap غير المنشأ. نظرًا لعدم وجود هذا الزوج من التداول بعد ، فإن هذا يتيح للقراصنة إنشاء زوج تداول مباشرة وإضافة السيولة دون الحاجة إلى تحويل إضافي للرموز الناشئة.
هذا الإجراء نجح في تجاوز MODE_TRANSFER_RESTRICTED (وضع تحويل مقيد)، الذي ينبغي بالأساس أن يقيد المعاملات قبل تشغيل الرموز الرقمية. وبهذه الطريقة، يمكن للمهاجم تجنب تدابير الوقاية في مشروع Four.meme.
سرقة السيولة: الربح من خلال التلاعب بالأسعار
بعد إنشاء زوج التداول، يقوم المهاجم بإضافة السيولة بسعر غير طبيعي، مما يتيح له الحصول على مزيد من الأموال عندما لا يتوافق السعر مع توقعات السوق. في النهاية، نجح القراصنة في سرقة السيولة داخل البركة، مما تسبب في خسائر للمستثمرين.
تحذير الأمان: تحتاج تطوير العقد الذكي إلى تعزيز آلية الوقاية
هذا الحادث يسلط مرة أخرى الضوء على مخاطر ثغرات العقود الذكية، خاصة فيما يتعلق بآليات إنشاء حوض السيولة وأزواج التداول على بورصات العملات غير المركزية (DEX). يوصي الخبراء بأن يتخذ فريق التطوير التالي الإجراءات لتقليل هذه المخاطر:
وظائف فحص العقد: تأكد من عدم استغلال الوظائف الخاصة (مثل 0x7f79f6df) بشكل خبيث.
تعزيز آلية التحكم في السيولة: تقييد شروط إنشاء أزواج التداول لتجنب حقن الرموز بشكل متعمد مسبقًا.
تنفيذ مراقبة التداول: باستخدام الذكاء الاصطناعي وأدوات المراقبة الفورية، تعريف سلوك التداول الغير عادي.
تتزايد الأخطار والفرص في سوق العملات المشفرة، يجب على المستثمرين مراقبة أمان المشاريع في كل وقت لتجنب الخسائر غير الضرورية.
)شبكة بينانس سلسلة الذكاء الاصطناعي في ساحة الميمات! تم اطلاق Shell Launchpad، وحجم التداول على BSC تجاوز سولانا(
هذا المقال قد تم افتضاح احتيال MEME الداخلي! الهاكرز يستغلون ثغرة PancakeSwap لسرقة الأموال السائلة لعملة Four.meme الناشئة، ظهرت أولا في ChainNews ABMedia.
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
MEME السيولة
شركة أمان سلسلة الكتل SlowMist (الضباب البطيء) أصدرت تحذيرًا أمنيًا اليوم (3/18)، كشفت عن حادث هجوم مستهدف على مشروع Four.meme. استطاع القراصنة تجاوز الحدود التجارية بنجاح من خلال ثغرات في آلية العقود الذكية في PancakeSwap، وسرقة السيولة بنجاح أيضًا. هذا أيضًا يلقي بظلال على نشاط توزيع الميمات الذي بدأ في الاستفتاء خلال الأيام القليلة الماضية.
تحليل أساليب الهجوم: شراء الرموز غير المدرجة مسبقًا لتجاوز قيود التداول
وفقًا لتحليل SlowMist، قام المهاجم بشراء كمية صغيرة من الرموز الناشئة في مرحلة ( للصفقات الداخلية في منصة Four.meme قبل إصدار عملات معماة جديدة متعددة. يتيح للقراصنة هذه الخطوة الحصول على كمية معينة من الرموز قبل أن يتم إطلاقها رسميًا على PancakeSwap، مما يمهد الطريق للهجمات في وقت لاحق.
الثغرات الرئيسية: إيداع الرموز في عنوان زوج التداول غير المنشأ
المهاجم يستخدم وظيفة 0x7f79f6df لإرسال الرموز الناشئة إلى عنوان زوج تداول PancakeSwap غير المنشأ. نظرًا لعدم وجود هذا الزوج من التداول بعد ، فإن هذا يتيح للقراصنة إنشاء زوج تداول مباشرة وإضافة السيولة دون الحاجة إلى تحويل إضافي للرموز الناشئة.
هذا الإجراء نجح في تجاوز MODE_TRANSFER_RESTRICTED (وضع تحويل مقيد)، الذي ينبغي بالأساس أن يقيد المعاملات قبل تشغيل الرموز الرقمية. وبهذه الطريقة، يمكن للمهاجم تجنب تدابير الوقاية في مشروع Four.meme.
سرقة السيولة: الربح من خلال التلاعب بالأسعار
بعد إنشاء زوج التداول، يقوم المهاجم بإضافة السيولة بسعر غير طبيعي، مما يتيح له الحصول على مزيد من الأموال عندما لا يتوافق السعر مع توقعات السوق. في النهاية، نجح القراصنة في سرقة السيولة داخل البركة، مما تسبب في خسائر للمستثمرين.
تحذير الأمان: تحتاج تطوير العقد الذكي إلى تعزيز آلية الوقاية
هذا الحادث يسلط مرة أخرى الضوء على مخاطر ثغرات العقود الذكية، خاصة فيما يتعلق بآليات إنشاء حوض السيولة وأزواج التداول على بورصات العملات غير المركزية (DEX). يوصي الخبراء بأن يتخذ فريق التطوير التالي الإجراءات لتقليل هذه المخاطر:
وظائف فحص العقد: تأكد من عدم استغلال الوظائف الخاصة (مثل 0x7f79f6df) بشكل خبيث.
تعزيز آلية التحكم في السيولة: تقييد شروط إنشاء أزواج التداول لتجنب حقن الرموز بشكل متعمد مسبقًا.
تنفيذ مراقبة التداول: باستخدام الذكاء الاصطناعي وأدوات المراقبة الفورية، تعريف سلوك التداول الغير عادي.
تتزايد الأخطار والفرص في سوق العملات المشفرة، يجب على المستثمرين مراقبة أمان المشاريع في كل وقت لتجنب الخسائر غير الضرورية.
)شبكة بينانس سلسلة الذكاء الاصطناعي في ساحة الميمات! تم اطلاق Shell Launchpad، وحجم التداول على BSC تجاوز سولانا(
هذا المقال قد تم افتضاح احتيال MEME الداخلي! الهاكرز يستغلون ثغرة PancakeSwap لسرقة الأموال السائلة لعملة Four.meme الناشئة، ظهرت أولا في ChainNews ABMedia.