یک خطا در یک تابع واحد از پایگاه کد استخر نقدینگی منجر به زیان هفت رقمی شد.
شبکه GYM یک جمعآوری بین پروتکلی DeFi است که برای بهینهسازی فرآیند تولید محصول در زنجیره BNB و سادهسازی آن برای تازهکارها طراحی شده است.
شبکه GYM اجازه داد تا تعادل را بدون واریز پول افزایش دهد
طبق بیانیه ای که توسط ارائه دهنده امنیت سایبری PeckShield به اشتراک گذاشته شده است، شبکه GYM یکی از عناصر آن، GymSinglePool، امروز، 8 ژوئن 2022، مورد حمله قرار گرفت.
معماری استخر فاقد ابزار تأیید تماس گیرنده بود: بدکاران میتوانستند موجودی خود را بدون ارسال پول برایشان افزایش دهند.
این نقص طراحی با سرقت بیش از 2.1 میلیون دلار مورد سوء استفاده قرار گرفت. مهاجمان بلافاصله شروع به انتقال غنائم خود به سرویس مبهم تراکنش ترنادو کش کردند.
GYM، ابزار اصلی و نشانه حاکمیتی پروتکل، بلافاصله بیش از 50 درصد قیمت خود را از دست داد و از 0.00099 دلار به 0.00048 دلار سقوط کرد.
پروتکل های بیشتری در معرض خطر هستند؟
از قضا، پروتکل دو بار توسط خود PeckShield و توسط CertiK ممیزی شد. همچنین، از پایگاه کد آلپاکا فایننس استفاده می کند که 20 بار حسابرسی شده است.
محقق بلاک چین، کیرین الکس (Kyrian.sol) تاکید کرد که شبکه GYM تنها پروتکلی است که دارای نقص طراحی مشابه است:
این اولین پروتکلی نیست که به دلیل “عدم تایید تماس گیرنده” هک می شود. به نظر می رسد باید تعداد زیادی از این پروتکل های شبیه سازی را بررسی کنم که به دنبال همین آسیب پذیری هستند.
نمایندگان تیم واقعیت حمله را تایید کردند. هماهنگکننده اجتماعی شبکه GYM توضیح داد که این آسیبپذیری در ابزار جدید «Claim and Reinvest» که دو روز پیش به کار گرفته شد، فاش شد.
تیم اضافه می کند که تا زمان انتشار، منبع باگ شناسایی و رفع شده است.
