Cointime

Cointime

Download App
iOS & Android

SharkTeam: ช่องโหว่ในการคำนวณความแม่นยำของสัญญาและคำแนะนำด้านความปลอดภัย

ในช่วงไม่กี่เดือนที่ผ่านมา มีเหตุการณ์ด้านความปลอดภัยจำนวนหนึ่งที่เกี่ยวข้องกับช่องโหว่ในการคำนวณความถูกต้องของราคาในกระบวนการพัฒนาสัญญา จำนวนความเสียหายเกิน 10 ล้านดอลลาร์สหรัฐ ซึ่งรวมถึง MIM_SPELL 6.5 ล้านดอลลาร์สหรัฐ, RadiantCapital 4.5 ล้านดอลลาร์สหรัฐ, Onyx Protocol 2.1 ล้านดอลลาร์สหรัฐ ล้าน เป็นต้น เนื่องจากมีปัญหาเรื่องความแม่นยำในการคำนวณ ตัวแปรสำคัญ จึงคำนวณไม่ถูกต้องและถูกโจมตี

SharkTeam สรุปเหตุการณ์ด้านความปลอดภัยดังกล่าวและให้คำแนะนำด้านความปลอดภัยที่มีประสิทธิภาพ หวังว่าโปรโตคอลที่ตามมาจะสามารถใช้เป็นคำเตือนและปกป้องความปลอดภัยของทรัพย์สินที่เข้ารหัสของผู้ใช้

1. เหตุการณ์การโจมตี MIM_SPELL

เวลาที่เกิด: 30 มกราคม 2024

จำนวนขาดทุน: ประมาณ 6.5 ล้านเหรียญสหรัฐ

เหตุผลของช่องโหว่: มีตัวแปรเงินกู้ 2 ตัวที่ยืดหยุ่นและเป็นฐานในสัญญา เมื่อคำนวณความแม่นยำของทั้งสอง ทั้งสองจะใช้วิธีปัดเศษขึ้น การดำเนินการนี้จะทำให้พารามิเตอร์ที่ผลการคำนวณควรเป็น 0 ได้รับการคำนวณเป็น 1 ในที่สุด ทำให้เกิดความไม่สมดุลระหว่างพารามิเตอร์ทั้งสอง และท้ายที่สุดทำให้โทเค็น MIM ให้ยืมมากเกินไป

วิเคราะห์โดยละเอียด: https://bit.ly/3ScR7TK

2. เหตุการณ์การโจมตี RadiantCapital

เวลาที่เกิด: 2 มกราคม 2024

จำนวนความเสียหาย: ประมาณ 4.5 ล้านเหรียญสหรัฐ

เหตุผลของช่องโหว่: แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในสัญญาที่ยังไม่ได้เริ่มต้นตลาดใหม่ ดัชนีสภาพคล่องไม่ได้ถูกเตรียมใช้งาน ทำให้แฮกเกอร์สามารถจัดการขนาดของมันผ่านฟังก์ชันสินเชื่อแฟลช เมื่อดัชนีมีขนาดใหญ่ขึ้น แฮกเกอร์ใช้ประโยชน์จากความแม่นยำในการปัดเศษในฟังก์ชัน rayDiv ปัญหาคือเมื่อเลขชี้กำลังมีขนาดใหญ่ขึ้น ขีดจำกัดบนของการสูญเสียความแม่นยำที่เกิดจากการปัดเศษก็จะมีมากขึ้นเช่นกัน

3. เหตุการณ์การโจมตีโปรโตคอล Onyx

เวลาที่เกิด: 11 พฤศจิกายน 2023

จำนวนขาดทุน: ประมาณ 2.1 ล้านเหรียญสหรัฐ

เหตุผลของช่องโหว่: เช่นเดียวกับเหตุการณ์การโจมตีของ RadiantCapital ช่องโหว่ของตลาดใหม่ที่ยังไม่ได้เริ่มต้นสภาพคล่องก็ถูกนำไปใช้เช่นกัน และมีช่องโหว่แบบปัดเศษในฟังก์ชัน divUint ที่ทำให้เกิดการสูญเสียความแม่นยำ

วิเคราะห์โดยละเอียด: https://bit.ly/47cKeI6

4. เหตุการณ์การโจมตี WiseLending

เวลาที่เกิด: 12 มกราคม 2024

จำนวนขาดทุน: ประมาณ 465,000 เหรียญสหรัฐ

เหตุผลของช่องโหว่: สัญญาใช้การปัดเศษขึ้นเมื่อคำนวณส่วนแบ่งเงินกู้ ผู้โจมตีใช้สิ่งนี้เพื่อดำเนินการเข้าถึงซ้ำ ๆ เพื่อเพิ่มราคาหุ้น หลังจากที่ราคาหุ้นเพิ่มขึ้น เขาจะยืม ETH จำนวนมากด้วยหุ้นของเขาเอง

5. การโจมตี HopeLend

เวลาที่เกิด: 18 ตุลาคม 2023

จำนวนความเสียหาย: ประมาณ 850,000 เหรียญสหรัฐ

สาเหตุของช่องโหว่: ในตอนแรกแฮ็กเกอร์ใช้ประโยชน์จากความไม่สมดุลของสภาพคล่องในกลุ่มที่สอดคล้องกับสินทรัพย์เป้าหมาย จัดการดัชนีสภาพคล่องของ hToken ที่เกี่ยวข้องกับสินทรัพย์เป้าหมาย และบิดเบือนมูลค่าของมัน จากนั้นแฮกเกอร์ก็ยืมสินทรัพย์อ้างอิงอื่น ๆ ทั้งหมดโดยใช้หลักประกัน hToken จำนวนน้อยมาก หลังจากนั้น แฮ็กเกอร์ยังใช้ประโยชน์จากช่องโหว่ในการปัดเศษในฟังก์ชัน rayDiv ในการดำเนินการแยกสัญญาเพื่อฝากและถอนเงินซ้ำๆ ส่งผลให้สินทรัพย์อ้างอิงที่ลงทุนในการโจมตี Hopelend หมดสิ้น

โดยทั่วไปปัญหาด้านความแม่นยำจะแบ่งออกเป็นสองประเภท:

1. ประเภทหนึ่งมีการปัดเศษขึ้นไม่ถูกต้อง ซึ่งอาจทำให้พารามิเตอร์ที่ควรเป็น 0 ถือเป็น 1 ทำให้เกิดช่องโหว่ร้ายแรงในการคำนวณครั้งต่อไป

2. หมวดหมู่ที่สองคือปัญหาการปัดเศษ ซึ่งปัญหาที่ร้ายแรงที่สุดคือโปรเจ็กต์ที่ใช้ฟังก์ชัน rayDiv ไม่ถูกต้อง

คำแนะนำด้านความปลอดภัย:

1. สำหรับประเภทแรก ถ้าตรรกะของโครงการต้องการการดำเนินการปัดเศษขึ้น ควรทำการทดสอบซ้ำหลายครั้งและหลากหลายภายใต้เงื่อนไขว่าตัวแปรการปัดเศษเป็น 1 หรือ 0 เป็นต้น

2. แบบที่ 2 สามารถใช้วิธีคูณก่อนแล้วหารด้วยความแม่นยำสม่ำเสมอ เช่น ใช้ 10**18 เป็นค่าต่อท้ายเป็นค่าหลังจุดทศนิยม

3. ไม่ว่าสถานการณ์จะเป็นเช่นไร ให้ทดสอบตรรกะการคำนวณในทุกด้านและพิจารณาทุกสถานการณ์ให้มากที่สุด โดยเฉพาะเมื่อผลการคำนวณที่แตกต่างกันมีตรรกะในการประมวลผลที่แตกต่างกัน จำเป็นต้องมีการทดสอบอย่างระมัดระวัง การออกแบบตรรกะทางทฤษฎีจะรวมเข้ากับการใช้งานโค้ดจริงเพื่อทดสอบการทำงานของสัญญาในทุกด้านโดยไม่มีจุดบอด หากกรณีทดสอบครอบคลุมการเปลี่ยนแปลงต่างๆ ก็สามารถหลีกเลี่ยงปัญหาด้านความปลอดภัยที่เกิดจากการคำนวณที่แม่นยำได้

วิสัยทัศน์ของ SharkTeam คือการรักษาความปลอดภัยให้กับโลกของ Web3 ทีมงานประกอบด้วยผู้เชี่ยวชาญด้านความปลอดภัยที่มีประสบการณ์และนักวิจัยอาวุโสจากทั่วโลก ซึ่งมีความเชี่ยวชาญในทฤษฎีพื้นฐานของบล็อคเชนและสัญญาอัจฉริยะ ให้บริการต่างๆ เช่น การวิเคราะห์บิ๊กดาต้าบนเชน, คำเตือนความเสี่ยงบนเชน, KYT/AML, การตรวจสอบสัญญาอัจฉริยะ, การกู้คืนสินทรัพย์ที่เข้ารหัส และบริการอื่น ๆ และได้สร้างแพลตฟอร์มระบุความเสี่ยงอัจฉริยะบนเชน ChainAegis แพลตฟอร์มดังกล่าวรองรับระดับไม่จำกัด ของการวิเคราะห์กราฟเชิงลึกและสามารถต่อสู้กับ Advanced Persistent Threat (APT) ในโลก Web3 ได้อย่างมีประสิทธิภาพ ได้สร้างความสัมพันธ์ความร่วมมือระยะยาวกับผู้เล่นหลักในด้านต่างๆ ของระบบนิเวศ Web3 เช่น Polkadot, Moonbeam, polygon, Sui, OKX, imToken, Collab.Land เป็นต้น

เว็บไซต์อย่างเป็นทางการ: https://www.sharkteam.org

ทวิตเตอร์: https://twitter.com/sharkteamorg

ดิสคอร์ด: https://discord.gg/jGH9xXCjDZ

โทรเลข: https://t.me/sharkteamorg

ความคิดเห็น

ความคิดเห็นทั้งหมด

Recommended for you

  • หน่วยงานประกันเงินฝากของสหรัฐฯ (FDIC) มีแผนที่จะจัดตั้งกระบวนการยื่นคำขอสำหรับสถาบันที่อยู่ภายใต้การกำกับดูแลที่ต้องการออกเหรียญ Stablecoin สำหรับการชำระเงิน

    สำนักงานประกันเงินฝากแห่งสหรัฐอเมริกา (FDIC) ประกาศอนุมัติร่างกฎระเบียบเพื่อกำหนดกระบวนการยื่นคำขอสำหรับสถาบันที่ต้องการออกเหรียญ Stablecoin สำหรับการชำระเงินและอยู่ภายใต้การกำกับดูแลของ FDIC โดยได้เริ่มระยะเวลารับฟังความคิดเห็นจากสาธารณะ 60 วันแล้ว รายงานระบุว่านี่เป็นข้อเสนอกฎระเบียบอย่างเป็นทางการครั้งแรกนับตั้งแต่มีการผ่านร่างกฎหมาย GENIUS Act หรือ "กฎหมายนวัตกรรม Stablecoin ของอเมริกา"

  • ราคา Bitcoin ทะลุ 88,000 ดอลลาร์

    ข้อมูลตลาดแสดงให้เห็นว่า BTC ทะลุระดับ 88,000 ดอลลาร์แล้ว และปัจจุบันซื้อขายอยู่ที่ 88,002.21 ดอลลาร์ เพิ่มขึ้น 1.34% ในช่วง 24 ชั่วโมงที่ผ่านมา ตลาดกำลังมีความผันผวนสูง ดังนั้นโปรดบริหารความเสี่ยงของคุณให้เหมาะสม

  • Bitwise เชื่อว่าปี 2026 จะเป็นปีขาขึ้นของสกุลเงินดิจิทัล และได้เผยแพร่การคาดการณ์ 10 ข้อ

    Bitwise เชื่อว่าปี 2026 จะเป็นปีแห่งตลาดกระทิงสำหรับสกุลเงินดิจิทัล ตั้งแต่การยอมรับจากสถาบันไปจนถึงความคืบหน้าด้านกฎระเบียบ แนวโน้มเชิงบวกในปัจจุบันของสกุลเงินดิจิทัลนั้นแข็งแกร่งเกินกว่าจะถูกกดดันได้นาน ต่อไปนี้คือการคาดการณ์ 10 อันดับแรกของ Bitwise สำหรับปีที่จะมาถึง: การคาดการณ์ที่ 1: Bitcoin จะทำลายวัฏจักร 4 ปีและทำสถิติสูงสุดตลอดกาลใหม่ การคาดการณ์ที่ 2: ความผันผวนของ Bitcoin จะต่ำกว่าของ Nvidia การคาดการณ์ที่ 3: ETF จะซื้อ Bitcoin, Ethereum และ Solana ที่ผลิตใหม่มากกว่า 100% เนื่องจากความต้องการจากสถาบันเพิ่มขึ้นอย่างรวดเร็ว การคาดการณ์ที่ 4: หุ้นสกุลเงินดิจิทัลจะให้ผลตอบแทนดีกว่าหุ้นเทคโนโลยี การคาดการณ์ที่ 5: ปริมาณการซื้อขายล่วงหน้าของ Polymarket จะทำสถิติสูงสุดตลอดกาลใหม่ แซงหน้าระดับที่เห็นในช่วงการเลือกตั้งปี 2024 การคาดการณ์ที่ 6: Stablecoin จะถูกกล่าวหาว่าบ่อนทำลายเสถียรภาพของสกุลเงินในตลาดเกิดใหม่ การคาดการณ์ที่ 7: กองทุน ETF แบบ On-chain (หรือที่รู้จักกันในชื่อ "ETF 2.0") จะมีสินทรัพย์ภายใต้การบริหารจัดการเพิ่มขึ้นเป็นสองเท่า การคาดการณ์ที่ 8: Ethereum และ Solana จะทำสถิติสูงสุดตลอดกาล (หากกฎหมาย CLARITY Act ผ่าน) การคาดการณ์ที่ 9: ครึ่งหนึ่งของเงินทุนสำรองของมหาวิทยาลัยในกลุ่ม Ivy League จะถูกลงทุนในสกุลเงินดิจิทัล การคาดการณ์ที่ 10: สหรัฐอเมริกาจะเปิดตัว ETF ที่เชื่อมโยงกับสกุลเงินดิจิทัลมากกว่า 100 กองทุน การคาดการณ์เพิ่มเติม: ความสัมพันธ์ระหว่าง Bitcoin และหุ้นจะลดลง

  • บริษัท China Properties Investment วางแผนที่จะซื้อและถือครอง BNB ไว้เป็นสินทรัพย์สำรองเชิงกลยุทธ์

    บริษัท ไชน่า พรอพเพอร์ตี้ส์ อินเวสต์เมนต์ (00736) ประกาศว่า เพื่อส่งเสริมกลยุทธ์ของบริษัทในการกระจายการจัดสรรสินทรัพย์และคว้าโอกาสในการพัฒนาเศรษฐกิจดิจิทัล บริษัทจึงตัดสินใจใช้เงินทุนของตนเองซื้อและถือครอง BNB (Binance Coin) และสินทรัพย์ดิจิทัลอื่น ๆ ที่เหมาะสมในตลาดเปิดเป็นสินทรัพย์สำรองเชิงกลยุทธ์ โดยอยู่ภายใต้การปฏิบัติตามกฎหมายและข้อบังคับที่เกี่ยวข้องและการควบคุมความเสี่ยง บริษัทมีความมั่นใจในโอกาสการพัฒนาในระยะยาวของอุตสาหกรรมสินทรัพย์ดิจิทัล และมีความเชื่อมั่นอย่างเต็มที่ในหน่วยงานที่ดำเนินงาน BNB การวิจัยและพัฒนาเทคโนโลยี โครงสร้างระบบนิเวศ และความสามารถในการแข่งขันในอุตสาหกรรม โดยตระหนักถึงศักยภาพการพัฒนาในระยะยาวและพื้นที่การเติบโตของมูลค่าในด้านบล็อกเชน เงินทุนที่จะใช้ในแผนนี้มาจากเงินทุนที่มีอยู่ของบริษัททั้งหมด และการจัดสรรเงินทุนเป็นไปตามมาตรฐานการจัดการทางการเงินและแผนธุรกิจโดยรวมของบริษัท และจะไม่ส่งผลกระทบต่อการดำเนินงานประจำวันของบริษัท คณะกรรมการบริษัทจะดำเนินการซื้อเป็นงวด ๆ ภายในวงเงินที่ได้รับอนุมัติ โดยขึ้นอยู่กับสภาวะตลาด

  • ผู้อำนวยการสภาเศรษฐกิจแห่งชาติทำเนียบขาว นายฮาสเซ็ตต์ กล่าวว่า "เมื่อพิจารณาจากปัจจัยบวกที่เกิดขึ้นในด้านอุปทานแล้ว ยังมีโอกาสที่จะลดอัตราดอกเบี้ยได้อีกมาก"

    ผู้อำนวยการสภาเศรษฐกิจแห่งชาติทำเนียบขาว นายฮาสเซ็ตต์ กล่าวว่า "เมื่อพิจารณาจากปัจจัยบวกที่เกิดขึ้นในด้านอุปทานแล้ว ยังมีโอกาสที่จะลดอัตราดอกเบี้ยได้อีกมาก"

  • บริษัท RedotPay ผู้ให้บริการชำระเงินด้วย Stablecoin ระดมทุนรอบ Series B ได้สำเร็จ 107 ล้านดอลลาร์สหรัฐ

    RedotPay บริษัทฟินเทคจากฮ่องกงที่เน้นการชำระเงินด้วย Stablecoin ประกาศความสำเร็จในการระดมทุนรอบ Series B มูลค่า 107 ล้านดอลลาร์สหรัฐ นำโดย Goodwater Capital โดยมี Pantera Capital, Blockchain Capital, Circle Ventures และ HSG (เดิมคือ Sequoia Capital China) ซึ่งเป็นนักลงทุนเดิมร่วมลงทุนด้วย

  • Binance Alpha จะเพิ่ม Theoriq (THQ) เข้าลิสต์ในเวลา 22:00 น.

    Binance Alpha ได้เพิ่ม Theoriq (THQ) ลงในรายการซื้อขายแล้ว และการซื้อขาย Alpha จะเริ่มต้นในวันที่ 16 ธันวาคม 2025 เวลา 22:00 น. (UTC+8) ผู้ใช้ที่มี Binance Alpha Points อย่างน้อย 220 คะแนน สามารถรับโทเค็นฟรีดรอปได้ โดยรับโทเค็น THQ จำนวน 400 โทเค็นผ่านหน้ากิจกรรม Alpha กิจกรรมนี้ใช้โมเดล "คะแนนลดลง" กล่าวคือ การรับคะแนนฟรีดรอปในนาทีแรกจะใช้ Binance Alpha Points 30 คะแนน หากกิจกรรมดำเนินต่อไป คะแนนที่ต้องใช้จะลดลง 1 คะแนนในทุกนาทีหลังจากนั้น จนถึงขั้นต่ำสุดที่ 10 คะแนน

  • จำนวนผู้มีงานทำในภาครัฐของสหรัฐฯ ลดลง 157,000 คนในเดือนตุลาคม

    สำนักงานสถิติแรงงานแห่งสหรัฐอเมริกาได้เผยแพร่รายงานการจ้างงานนอกภาคเกษตรประจำเดือนพฤศจิกายน และข้อมูลการจ้างงานนอกภาคเกษตรบางส่วนของเดือนตุลาคม ข้อมูลแสดงให้เห็นว่าการจ้างงานนอกภาคเกษตรของสหรัฐฯ เพิ่มขึ้น 64,000 ตำแหน่งในเดือนพฤศจิกายน โดยในบรรดาอุตสาหกรรมต่างๆ การเพิ่มขึ้นมากที่สุดอยู่ในภาคการดูแลสุขภาพและบริการสังคม โดยเพิ่มขึ้น 64,000 ตำแหน่ง ขณะที่การลดลงมากที่สุดอยู่ในภาคการขนส่งและคลังสินค้า โดยลดลง 17,700 ตำแหน่ง ในเดือนตุลาคม การจ้างงานนอกภาคเกษตรลดลงอย่างมากถึง 105,000 ตำแหน่ง โดยลดลงมากที่สุดในภาครัฐ ลดลง 157,000 ตำแหน่ง นับเป็นเดือนที่สองติดต่อกันที่งานลดลง ส่วนการเพิ่มขึ้นมากที่สุดอยู่ในภาคการดูแลสุขภาพและบริการสังคม โดยเพิ่มขึ้น 64,600 ตำแหน่ง

  • อัตราการว่างงานในสหรัฐฯ ลดลงมากที่สุดนับตั้งแต่สิ้นปี 2020 ในเดือนตุลาคม

    ข้อมูลที่เผยแพร่เมื่อวันอังคารโดยสำนักงานสถิติแรงงานสหรัฐฯ แสดงให้เห็นว่าจำนวนผู้มีงานทำนอกภาคเกษตรเพิ่มขึ้น 64,000 คนในเดือนพฤศจิกายน เมื่อเทียบกับการลดลง 105,000 คนในเดือนตุลาคม อัตราการว่างงานในเดือนที่ผ่านมาอยู่ที่ 4.6% เพิ่มขึ้นจาก 4.4% ในเดือนกันยายน ซึ่งเป็นระดับสูงสุดนับตั้งแต่ปี 2021 สำนักงานสถิติแรงงานต้องงดเว้นการเผยแพร่อัตราการว่างงานของเดือนตุลาคม เนื่องจากไม่สามารถรวบรวมข้อมูลย้อนหลังได้หลังจากการปิดทำการของรัฐบาล การลดลงของจำนวนผู้มีงานทำในเดือนตุลาคมเป็นการลดลงมากที่สุดนับตั้งแต่สิ้นปี 2020 เนื่องจากผู้ที่เข้าร่วมโครงการลาออกโดยสมัครใจของรัฐบาลทรัมป์ได้ออกจากรายชื่อผู้มีงานทำอย่างเป็นทางการ ส่งผลให้จำนวนผู้มีงานทำในหน่วยงานรัฐบาลกลางลดลง 162,000 คน

  • อัตราการว่างงานของสหรัฐฯ ที่เพิ่มขึ้นอย่างไม่คาดคิดในเดือนพฤศจิกายน อาจดึงดูดความสนใจจากธนาคารกลางสหรัฐฯ (เฟด) ในขณะที่คาดว่าการฟื้นตัวของอัตราการมีส่วนร่วมในกำลังแรงงานจะช่วยบรรเทาความกังวลบางส่วนได้

    บทวิเคราะห์อย่างรวดเร็วของนักวิเคราะห์ Anstey เกี่ยวกับรายงานการจ้างงานนอกภาคเกษตรของสหรัฐฯ ชี้ให้เห็นว่า ข้อมูลการจ้างงานนอกภาคเกษตรในเดือนพฤศจิกายนสูงกว่าที่คาดการณ์ไว้เล็กน้อย โดยมีการจ้างงานใหม่ 64,000 ตำแหน่ง อัตราการว่างงานเพิ่มขึ้นอย่างไม่คาดคิดเป็น 4.6% ในเดือนพฤศจิกายน ซึ่งอาจดึงดูดความสนใจจากธนาคารกลางสหรัฐฯ อย่างไรก็ตาม อัตราการมีส่วนร่วมในกำลังแรงงานเพิ่มขึ้น ดังนั้นการเพิ่มขึ้นของอัตราการว่างงานอาจไม่ใช่ข่าวร้ายทั้งหมด เรายังคงต้องตรวจสอบข้อมูลเฉพาะอย่างละเอียดมากขึ้น ดัชนีหุ้นล่วงหน้าของสหรัฐฯ ปรับตัวสูงขึ้น และผลตอบแทนพันธบัตรกระทรวงการคลังสหรัฐฯ อายุ 2 ปีลดลง—จากผลการดำเนินงานที่อ่อนแอของข้อมูลการจ้างงานนอกภาคเกษตรในช่วงหลายเดือนที่ผ่านมา ความคาดหวังของตลาดเกี่ยวกับการผ่อนคลายทางการเงินเพิ่มเติมโดยธนาคารกลางสหรัฐฯ จึงเพิ่มขึ้น ควรสังเกตว่าข้อมูลสำหรับเดือนสิงหาคมและกันยายนได้รับการปรับลดลงรวมกัน 33,000 ตำแหน่งด้วย

ต้องอ่านทุกวัน

กิจกรรมยอดนิยม

RaveDAO at Terra Solis by Tomorrowland: A Female-Led Techno Night Where Web3 Culture Converges

RaveDAO at Terra Solis by Tomorrowland: A Female-Led Techno Night Where Web3 Culture Converges

April 30 - April 30
Dubai
Cointime
เนื้อหา
บริษัท