Sherlock'un Güvenlik Açığı İncelemesine Hoş Geldiniz! Her hafta, araştırmacılarımızın bir Sherlock denetimi sırasında ortaya çıkardığı etkili bir güvenlik açığını vurgulayacağız.
Bu hafta yanlış yapılandırma nedeniyle aşırı bir geri çekilme var.
@bin2chen, @TheCHADuke, iglyx, @tapired, @xiaoming9090 ve @0xleastwood tarafından @NotionalFinance V3 yarışmasında bulunmuştur.
Cari Bakiye 999.900 USDC ve withdrawAmountExternal 1.000.000 USDC ise, sözleşmede yetersiz bakiye vardır ve para piyasasından ek fonların çekilmesi gerekir (örneğin, Bileşik).
Sözleşmede halihazırda 999.900 USDC bulunduğundan, 1.000.000 USDC'lik para çekme talebini yerine getirmek için para piyasasından yalnızca 100 USDC'nin daha çekilmesi gerekir
Ancak Notional, para piyasasından 100 USDC çekmek yerine, oracle.getRedemptionCalldata(withdrawAmountExternal) fonksiyonuna göre piyasadan 1.000.000 USDC çeker. Sonuç olarak, para piyasasından 999.900 USDC'den fazla para çekiliyor.
Etkisi nedir?
Bu, Notional'da rölantide kalan ve para piyasasında herhangi bir getiri veya faiz getirmeyen aşırı miktarda varlığa yol açmış, bu da kullanıcılar için beklenenden daha düşük bir faiz oranı alacakları ve fırsat kaybına uğrayacakları için önemli miktarda getiri kaybına yol açmıştır.
Saldırganlar, Notional'ın para piyasasına yatırdığı fonları çekmek için bunu potansiyel olarak kötüye kullanabilir ve bu da protokol için kedere ve şaşırtıcı getiri/faiz kaybına yol açabilir.
Çözüm:
Esasen, düzeltmeden önce, kod oracle'a şöyle diyordu: "Kullanıcının para piyasasından istediği her şeyi çekmek için adımlar hazırlayın."
"Para piyasasından sadece kaçırdığımızı çekin" demesi gerekirken.
Düzeltmeden sonra, önceki örnekte olduğu gibi, sözleşme tarafından halihazırda tutulan 999.900 USDC'ye dokunulmaz ve getiri elde etmeye, verimliliği artırmaya ve tüm kullanıcılar için getirileri korumaya devam eder.
Bu güvenlik açığı, para çekme tutarlarının nasıl hesaplandığı ve geçtiği konusundaki ince bir mantık hatasından kaynaklandı. Sistem, sözleşmenin mevcut bakiyesini göz ardı ederek para piyasasından gereksiz yere fazla fon çekerek sermaye verimsizliğine ve getiri kaybına yol açtı.
Bu keşifle Notional'ın güvence altına alınmasına yardımcı olmaktan gurur duyuyoruz. Kesinlikle güvenli olması gerektiğinde, Sherlock doğru seçimdir.
2,8 B
35
Bu sayfadaki içerik üçüncü taraflarca sağlanmaktadır. Aksi belirtilmediği sürece, atıfta bulunulan makaleler OKX TR tarafından kaleme alınmamıştır ve OKX TR, bu materyaller üzerinde herhangi bir telif hakkı talebinde bulunmaz. İçerik, yalnızca bilgilendirme amaçlı sağlanmıştır ve OKX TR’nin görüşlerini yansıtmaz. Ayrıca, sunulan içerikler herhangi bir konuya ilişkin onay niteliği taşımaz ve yatırım tavsiyesi veya herhangi bir dijital varlığın alınıp satılmasına yönelik davet olarak değerlendirilmemelidir. Özetler ya da diğer bilgileri sağlamak için üretken yapay zekânın kullanıldığı durumlarda, bu tür yapay zekâ tarafından oluşturulan içerik yanlış veya tutarsız olabilir. Daha fazla ayrıntı ve bilgi için lütfen bağlantıda sunulan makaleyi okuyun. OKX TR, üçüncü taraf sitelerde barındırılan içeriklerden sorumlu değildir. Sabit coinler ve NFT’ler dâhil olmak üzere dijital varlıkları tutmak, yüksek derecede risk içerir ve bu tür varlık fiyatlarında büyük ölçüde dalgalanma yaşanabilir. Dijital varlıkları alıp satmanın veya tutmanın sizin için uygun olup olmadığını finansal durumunuz ışığında dikkatlice değerlendirmelisiniz.