المهاجم يخترق كنز Arbitrum's DAO لأكثر من 100 NFT من خلال الاستفادة من Marketplace Exploit

Attacker Hacks Arbitrum's Treasure DAO for Over 100 NFTs by Leveraging Marketplace Exploit

تم اختراق منصة سوق رمزية غير قابلة للاستبدال تم إنشاؤها فوق Arbitrum تسمى Treasure DAO في 3 مارس الساعة 7:33 صباحًا (بالتوقيت الشرقي القياسي) ، وفقًا لتحليل ما بعد الوفاة الذي أعدته شركة Certik التي تركز على الأمان. يشير تقرير الشركة إلى أن "أكثر من 100 NFT سُرقت في الهجوم" ، حيث استغل المهاجم ثغرة أمنية في وظيفة "المشتري الذي يشتري عنصرًا" في السوق.

يُظهر تحليل ما بعد الوفاة بواسطة Certik أن منصة تداول Arbitrum NFT تم استغلال الكنز DAO لأكثر من 100 NFT

تم الهجوم على سوق Arbitrum NFT الرائد Treasure DAO يوم الخميس بعد أن اكتشف أحد المهاجمين ثغرة أدت إلى فقدان "أكثر من 100 NFT من المستخدمين المطمئنين." تم إرسال تحليل ما بعد الوفاة للهجوم إلى Bitcoin.com News من شركة Certik لأمن blockchain ، وهي شركة تحلل وتراقب وتقيم العقود الذكية وتقنية blockchain وبروتوكولات التمويل اللامركزي.

"تم استغلال Treasure DAO ، منصة تداول NFT على Arbitrum ، من قبل مهاجم غير معروف استغل عيبًا في رمز المنصة ،" تفاصيل تحليل Certik. "نتج عن الاستغلال فقدان أكثر من 100 NFTs من المستخدمين المطمئنين. بعد بعض التحليلات الأولية وتتبع محفظة المتسلل على Twitter ، تمت إعادة العديد من NFTs المسروقة ".

المهاجم يستغل كنز Arbitrum's Treasure DAO لأكثر من 100 NFT من خلال الاستفادة من Marketplace Exploit — "استغل المهاجم خطأ في وظيفة Buyer.buyItem الخاصة بالسوق ، والتي سمحت له بضبط الكمية التي تساوي 0" ، كما جاء في تقرير Certik بعد الوفاة. "بكمية بقيمة 0 ، يكون totalPrice أيضًا 0 ، حيث أن totalPrice = _pricePerItem * _quantity. هذا يعني أن المهاجم لم يدفع شيئًا مقابل NFTs التي اشتروها. نظرًا لعدم وجود شرط بأن _ الكمية> 0 ، يتم تنفيذ الوظيفة بشكل طبيعي. يمكن حل هذا الخطأ من خلال طلب قيمة أكبر من 0 لمتغير الكمية ".

بالإضافة إلى ذلك ، يشير تحليل Certik لوضع Treasure DAO إلى أن الرمز المميز للبروتوكول MAGIC قد خسر أكثر من 40٪ من الخسائر مقابل الدولار الأمريكي. شارك مؤسس شركة Treasure DAO جون باتن أيضًا تويتد حول الحدث بعد أن سرق المهاجم الأموال. "يتم استغلال سوق الكنز. يرجى شطب العناصر الخاصة بك. قال باتن: سوف نغطي تكاليف الاستغلال - سأتخلى شخصيًا عن جميع Smols لإصلاح هذا الأمر. أضاف المؤسس المشارك لـ Treasure DAO:

لا أستطيع أن أفهم ما الذي يستهدفه البشر دون البشر لسوق إطلاق عادل للسرقة ، لكنهم لن يهزموا المجتمع.

تقول Certik إن التحليل المستمر على السلسلة وعمليات تدقيق ما قبل النشر يمكن أن تحد من مآثر بروتوكول Blockchain المستقبلية

يقول محللو الأمن في Certik إنه لا أحد يعرف من يقف وراء هذه الاستغلال ، لكنهم أضافوا أن العديد من المستخدمين كانوا "سعداء ببساطة بإعادة NFTs المسروقة." يختتم ملخص ما بعد الوفاة للشركة للوضع بإضافة أن الخسائر الكبيرة يمكن أن تحدث ببساطة عن طريق استغلال سطر واحد من التعليمات البرمجية. تؤمن الشركة بكل إخلاص أن المراقبة عبر السلسلة لبروتوكولات blockchain المحددة وعمليات تدقيق ما قبل النشر يمكن أن تساعد في وقف نقاط الضعف في المستقبل.

ويخلص تقرير Certik إلى أن "هذا الاختراق يسلط الضوء مرة أخرى على تداعيات المليون دولار التي يمكن أن يحملها سطر واحد من التعليمات البرمجية". "يعد إجراء تدقيق شامل لما قبل النشر مقترنًا بالتحليل المستمر على السلسلة هو أفضل طريقة لمشاريع Web3 لإثبات التزامها بالأمان وطمأنة عملائها بأن أموالهم آمنة."

العلامات في هذه القصة

100 NFTs ، Arbitrum ، Arbitrum Chain ، مهاجم ، أمان Blockchain ، bug Treasure DAO ، certik ، Certik analysis ، Certik post mortem ، Certik Security ، Hack ، Hacker ، John Patten ، MAGIC ، Magic token ، nft ، NFT hack ، NFT Market ، NFT marketplace ، NFTs ، Treasure DAO ، خطأ Treasure DAO ، استغلال Treasure DAO ، اختراق Treasure DAO ، مشاريع Web3

ما رأيك في اختراق Treasure DAO وتقرير Certik بعد الوفاة؟ أخبرنا برأيك حول هذا الموضوع في قسم التعليقات أدناه.

جيمي ريدمان

جيمي ريدمان هو رئيس قسم الأخبار في Bitcoin.com News وصحفي مالي متخصص في التكنولوجيا ويعيش في فلوريدا. كان Redman عضوًا نشطًا في مجتمع cryptocurrency منذ عام 2011. لديه شغف بـ Bitcoin ، والشفرة مفتوحة المصدر ، والتطبيقات اللامركزية. منذ سبتمبر 2015 ، كتب Redman أكثر من 5,000 مقالة لموقع Bitcoin.com News حول البروتوكولات التخريبية الناشئة اليوم.