Poolz تعرّضت لهاكر، خسائر تقارب 66.5 ألف دولار

مؤخراً، تعرض مشروع Poolz على عدة شبكات بلوكتشين لهجوم هاكر، مما أسفر عن خسائر تقدر بحوالي 665,000 دولار أمريكي. وفقًا لبيانات سلسلة الكتل، حدث هذا الهجوم في 15 مارس 2023، وشارك فيه عدة شبكات مثل Ethereum وBNB Chain وPolygon.

استغل المهاجمون ثغرة تجاوز عدد صحيح في عقد Poolz. على وجه التحديد، تكمن المشكلة في دالة getArraySum في دالة CreateMassPools. حيث أن هذه الدالة، أثناء حساب عدد الرموز، أدت تجاوز العدد الصحيح إلى عدم تطابق عدد الرموز المدخلة فعليًا مع العدد المسجل، مما أدى إلى استفادة المهاجم.

في هذا الهجوم، تم سرقة عدة رموز، بما في ذلك MEE و ESNC و DON و ASW و KMON و POOLZ. وقد قام المهاجمون بتحويل جزء من الأرباح إلى BNB، لكن الأموال لم تُنقل بعد.

لتجنب حدوث مشكلات مشابهة مرة أخرى، يُنصح المطورون باستخدام إصدارات أحدث من مجمع Solidity، حيث تقوم هذه الإصدارات بإجراء فحص overflow تلقائيًا. بالنسبة للمشاريع التي تستخدم إصدارات قديمة من Solidity، يمكن النظر في استخدام مكتبة SafeMath من OpenZeppelin لحل مشكلة overflow في الأعداد.

تُذكرنا هذه الحادثة مجددًا بأن الأمان أمرٌ حيوي في تطوير العقود الذكية. يجب على المطورين أن يكونوا دائمًا حذرين من الثغرات المحتملة، واتخاذ التدابير الأمنية اللازمة لحماية أصول المستخدمين. في الوقت نفسه، ينبغي على فريق المشروع إجراء تدقيق أمني بانتظام لاكتشاف وإصلاح المخاطر الأمنية المحتملة في وقت مبكر.