Poolz, aritmetik taşma açığı saldırısına uğradı, neredeyse 670.000 dolar kaybetti
Son günlerde, çok zincirli Poolz projesine yönelik bir saldırı olayı sektörde geniş bir dikkat çekti. Zincir üstü izleme verilerine göre, saldırı 15 Mart 2023 tarihinde gerçekleşti ve Ethereum, BNB Chain ve Polygon gibi birden fazla kamu zincirini kapsadı.
Bu saldırı, MEE, ESNC, DON, ASW, KMON, POOLZ gibi birçok projenin tokenlerinin çalınmasına neden oldu. İlk tahminlere göre, çalınan varlıkların toplam değeri yaklaşık 665,000 dolardır. Şu anda, çalınan bazı tokenler saldırganlar tarafından BNB'ye dönüştürülmüştür, ancak henüz saldırganların kontrolündeki adreslerden çıkarılmamıştır.
Analizler, bu saldırının esas olarak Poolz projesinin akıllı sözleşmesindeki aritmetik taşma açığını kullandığını gösteriyor. Saldırganlar, toplu likidite havuzları oluştururken tamsayı taşmasını tetikleyen ustaca yapılandırılmış giriş parametreleri aracılığıyla çok az bir miktar token ile büyük miktarda likidite elde etmeyi başardılar.
Özellikle, saldırgan önce belirli bir merkeziyetsiz borsa üzerinden az miktarda MNZ tokeni değiştirdi. Ardından, saldırgan Poolz sözleşmesindeki CreateMassPools fonksiyonunu çağırdı; bu fonksiyon, kullanıcıların birden fazla likidite havuzu oluşturmasına ve başlangıç likiditesini sağlamasına olanak tanır. Sorun, kullanıcı tarafından sağlanan başlangıç likiditesinin toplamını hesaplamak için kullanılan getArraySum fonksiyonundadır.
Saldırgan, giriş parametresi olarak aşırı büyük sayılar içeren bir dizi dikkatlice oluşturdu. Bu sayılar toplandığında, tam sayı taşması meydana geldi ve gerçek olarak transfer edilen token miktarı ile kaydedilen miktar arasında büyük bir fark oluştu. Sonuç olarak, saldırgan yalnızca 1 token transfer etti, ancak sözleşmede büyük bir likidite değeri kaydedildi.
Yukarıdaki işlemler tamamlandıktan sonra, saldırgan hemen withdraw fonksiyonunu çağırarak fonları çekti ve saldırı sürecini kolaylıkla tamamladı.
Bu olay, akıllı sözleşmelerdeki aritmetik taşma sorunlarının tehlikesini bir kez daha vurgulamıştır. Benzer riskleri önlemek için, sektördeki uzmanlar geliştiricilere daha yeni sürüm Solidity programlama dilini kullanmalarını önermektedir; bu sürümlerde derleme sürecinde otomatik taşma kontrolleri yapılmaktadır. Daha eski sürüm Solidity kullanan projeler için, tamsayı taşma sorununu çözmek amacıyla OpenZeppelin gibi olgun güvenlik kütüphanelerinin entegrasyonu düşünülmelidir.
Bu olay, bize blok zinciri ekosisteminde sözleşme güvenliğinin her zaman göz ardı edilemeyecek bir anahtar sorun olduğunu hatırlatıyor. Proje sahiplerinin sürekli olarak kod denetimi ve güvenlik testlerini güçlendirmesi gerekiyor, kullanıcıların da yeni projelere katılırken dikkatli olmaları ve ilgili riskleri dikkatlice değerlendirmeleri önemlidir.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
18 Likes
Reward
18
5
Share
Comment
0/400
PositionPhobia
· 19h ago
Kayıplar büyük. Zararı durdur bile çıkmıyor.
View OriginalReply0
StrawberryIce
· 19h ago
Hem açıklar hem açıklar, hangi sözleşme güvenilir ki!
View OriginalReply0
InscriptionGriller
· 19h ago
Yine bir güzel sıfırlama örneği her gün insanları enayi yerine koymak
View OriginalReply0
SeasonedInvestor
· 19h ago
Yine mi kazıklandık! Hangi sözleşmeyi test ettiniz?
View OriginalReply0
SchrodingersPaper
· 19h ago
Yine mi kazıklandın? Sözleşme oynamak hala aşırı testten geçmedi mi! Çıldıracak kadar kötü!
Poolz, aritmetik taşma saldırısına uğradı, çoklu zincir kaybı yaklaşık 670.000 dolar.
Poolz, aritmetik taşma açığı saldırısına uğradı, neredeyse 670.000 dolar kaybetti
Son günlerde, çok zincirli Poolz projesine yönelik bir saldırı olayı sektörde geniş bir dikkat çekti. Zincir üstü izleme verilerine göre, saldırı 15 Mart 2023 tarihinde gerçekleşti ve Ethereum, BNB Chain ve Polygon gibi birden fazla kamu zincirini kapsadı.
Bu saldırı, MEE, ESNC, DON, ASW, KMON, POOLZ gibi birçok projenin tokenlerinin çalınmasına neden oldu. İlk tahminlere göre, çalınan varlıkların toplam değeri yaklaşık 665,000 dolardır. Şu anda, çalınan bazı tokenler saldırganlar tarafından BNB'ye dönüştürülmüştür, ancak henüz saldırganların kontrolündeki adreslerden çıkarılmamıştır.
Analizler, bu saldırının esas olarak Poolz projesinin akıllı sözleşmesindeki aritmetik taşma açığını kullandığını gösteriyor. Saldırganlar, toplu likidite havuzları oluştururken tamsayı taşmasını tetikleyen ustaca yapılandırılmış giriş parametreleri aracılığıyla çok az bir miktar token ile büyük miktarda likidite elde etmeyi başardılar.
Özellikle, saldırgan önce belirli bir merkeziyetsiz borsa üzerinden az miktarda MNZ tokeni değiştirdi. Ardından, saldırgan Poolz sözleşmesindeki CreateMassPools fonksiyonunu çağırdı; bu fonksiyon, kullanıcıların birden fazla likidite havuzu oluşturmasına ve başlangıç likiditesini sağlamasına olanak tanır. Sorun, kullanıcı tarafından sağlanan başlangıç likiditesinin toplamını hesaplamak için kullanılan getArraySum fonksiyonundadır.
Saldırgan, giriş parametresi olarak aşırı büyük sayılar içeren bir dizi dikkatlice oluşturdu. Bu sayılar toplandığında, tam sayı taşması meydana geldi ve gerçek olarak transfer edilen token miktarı ile kaydedilen miktar arasında büyük bir fark oluştu. Sonuç olarak, saldırgan yalnızca 1 token transfer etti, ancak sözleşmede büyük bir likidite değeri kaydedildi.
Yukarıdaki işlemler tamamlandıktan sonra, saldırgan hemen withdraw fonksiyonunu çağırarak fonları çekti ve saldırı sürecini kolaylıkla tamamladı.
Bu olay, akıllı sözleşmelerdeki aritmetik taşma sorunlarının tehlikesini bir kez daha vurgulamıştır. Benzer riskleri önlemek için, sektördeki uzmanlar geliştiricilere daha yeni sürüm Solidity programlama dilini kullanmalarını önermektedir; bu sürümlerde derleme sürecinde otomatik taşma kontrolleri yapılmaktadır. Daha eski sürüm Solidity kullanan projeler için, tamsayı taşma sorununu çözmek amacıyla OpenZeppelin gibi olgun güvenlik kütüphanelerinin entegrasyonu düşünülmelidir.
Bu olay, bize blok zinciri ekosisteminde sözleşme güvenliğinin her zaman göz ardı edilemeyecek bir anahtar sorun olduğunu hatırlatıyor. Proje sahiplerinin sürekli olarak kod denetimi ve güvenlik testlerini güçlendirmesi gerekiyor, kullanıcıların da yeni projelere katılırken dikkatli olmaları ve ilgili riskleri dikkatlice değerlendirmeleri önemlidir.