أبلغ Sherlock الذكاء الاصطناعي عن ثغرة أمنية حرجة في بروتوكول @40acresFinance. سمح لنا فريق 40 فدانا بسخاء بمشاركة التفاصيل علنا حتى يتمكن الآخرون من التعلم من النتيجة. إليك كيفية عمل الثغرة الأمنية: أولا ، veNFTs هي نوع خاص من رموز ERC721 المميزة ذات الضمان التصويتي والتي تكسب مكافآت أسبوعية. 40 فدانا يمنح حاملي veNFT وصولا فوريا إلى القروض بناء على إيراداتهم المستقبلية ل veNFT. يقع veNFT لكل مقترض داخل حساب محفظة شخصي يوجه الوظائف من خلال "جوانب" معيارية باستخدام نمط الوكيل الماسي. يسمح الاستغلال للمهاجم باستعادة ضماناته (veNFT) من حساب المحفظة الخاص به دون سداد القرض. تحقق من وظيفة aerodromeVote() أدناه. يحتوي 40acres على ميزة رائعة للغاية تسمح للمقترضين بالتصويت باستخدام veNFTs الخاصة بهم كضمان في 40 فدانا. تحتوي الدالة على المشكلة التالية: لم يتم التحقق من صحة عنوان loanContract، مما يسمح لمستخدم ضار بتحديد عقد عشوائي. يمكن الموافقة على هذا العقد للتحكم في veNFT في PortfolioAccount ، مما يتيح نقله أثناء استدعاء التصويت () في عقد القرض الضار. خطوات الهجوم 1) ينشر المهاجم عقدا ضارا يتم تنفيذه لاستدعاء transferFrom/safeTransferFrom لنقل veNFT المعتمد. 2) يستدعي المهاجم portfolioAccount.aerodromeVote (maliciousContract, tokenId). يفوض الاحتياطي المحفظة إلى الجانب ، الذي يفتقر إلى التحقق من صحة المدخلات والمكالمات وينقل veNFT مرة أخرى إلى المهاجم ، على الرغم من عدم سداد القرض. ملاحظة: يؤدي تكرار الخطأ إلى استنزاف مجمع الإقراض - القيام بذلك مرة واحدة هو مجرد أخذ قرض وسرقة veNFT مرة أخرى. تأثير قروض غير مدعومة عبر النظام. يمكن لأي مقترض استرداد ضمانته الخاصة في منتصف القرض ، مما يؤدي إلى الإعسار الكامل لمجمع الإقراض. الاعترافات شكرا ل @defsec_ و @vinica_boy و @onthehunt11_ للمساعدة في هذه الكتابة. من المهم أن تعرف: اكتشف فريق 40acres الخطأ وطبق إصلاحا قبل الإطلاق تم اكتشافه بواسطة Sherlock الذكاء الاصطناعي يمكنك رؤية المشكلة الأصلية كما تم إنشاؤها بواسطة Sherlock الذكاء الاصطناعي في التغريدة التالية. استغرق الجري 3 ساعات و 59 دقيقة من البداية إلى النهاية. يوفر الذكاء الاصطناعي من Sherlock الأمان لعملية التطوير ، ومسح مسارات الالتزامات والمكالمات مبكرا ، وإظهار العيوب عالية التأثير بسرعة ، ومنح المدققين رؤية أكثر وضوحا للأنظمة المعقدة. من الناحية العملية ، هذا يعني أنه يمكن اكتشاف مثل هذه المشكلات وحلها قبل وقت طويل من عمليات التدقيق أو المكافآت أو النشر. جرب Sherlock الذكاء الاصطناعي لبروتوكولك اليوم.

المشكلات الأصلية التي تم إنشاؤها بواسطة Sherlock الذكاء الاصطناعي: المشكلات الأصلية التي تم إنشاؤها بواسطة Sherlock الذكاء الاصطناعي: جرب Sherlock الذكاء الاصطناعي لفريقك اليوم: