- Topic
28k Popularity
57k Popularity
8k Popularity
16k Popularity
30k Popularity
2k Popularity
113k Popularity
27k Popularity
26k Popularity
7k Popularity
- Pin
28k Popularity
57k Popularity
8k Popularity
16k Popularity
30k Popularity
2k Popularity
113k Popularity
27k Popularity
26k Popularity
7k Popularity
Poolz akıllı sözleşmeler açığı saldırıya uğradı, çoklu zincir varlık kaybı 66.5 bin dolar.
Poolz, aritmetik taşma açığı saldırısına uğradı, yaklaşık 66.5 bin dolar kaybetti
Son günlerde, birçok blockchain ağındaki Poolz projesi hacker saldırısına uğradı ve bu saldırı sonucu büyük miktarda token çalındı; toplam değer yaklaşık 66.5 bin dolar. Bu saldırı 15 Mart 2023 tarihinde gerçekleşti ve Ethereum, BNB Chain ve Polygon gibi birçok ağı kapsadı.
Saldırganlar, Poolz akıllı sözleşmesindeki bir aritmetik taşma açığını kullandılar. Özellikle, sorun CreateMassPools fonksiyonundaki getArraySum fonksiyonundadır. Bu fonksiyon, token sayısını hesaplarken tam sayı taşmalarını doğru bir şekilde ele almadığı için saldırganların çok düşük bir maliyetle büyük miktarda token elde etmelerine olanak tanımıştır.
Saldırı süreci genel olarak aşağıdaki gibidir:
Saldırgan önce belirli bir merkeziyetsiz borsa da az miktarda MNZ tokenını değiştirdi.
Ardından, dikkatlice oluşturulmuş parametreleri geçirerek CreateMassPools fonksiyonunu çağırın ve tamsayı taşmasını tetikleyin.
Taşma nedeniyle, sistem yanlışlıkla devasa bir token miktarını kaydetti, oysa yalnızca 1 token transfer edildi.
Son olarak, saldırgan withdraw fonksiyonunu çağırarak tokenleri çekiyor ve saldırıyı tamamlıyor.
Bu olay, akıllı sözleşmelerdeki tamsayı taşma açıklarının tehlikesini bir kez daha vurgulamaktadır. Benzer sorunları önlemek için geliştiricilerin daha yeni sürüm Solidity derleyicilerini kullanmaları gerekmektedir; bu derleyiciler otomatik olarak taşma kontrolleri yapmaktadır. Eski sürüm Solidity kullanan projeler için, tamsayı işlemlerini yönetmek amacıyla OpenZeppelin'in SafeMath kütüphanesinin entegre edilmesi önerilmektedir.
Bu saldırı MEE, ESNC, DON, ASW, KMON, POOLZ gibi çeşitli token kayıplarına neden oldu. Şu anda, çalınan fonların bir kısmı saldırganlar tarafından BNB'ye dönüştürüldü, ancak henüz saldırganın adresinden çıkarılmadı.
Bu olay, görünüşte basit matematik işlemlerinin bile akıllı sözleşmelerde ciddi güvenlik sorunlarına yol açabileceğini hatırlatıyor. Proje ekiplerinin kod denetimine daha fazla önem vermesi ve kullanıcı varlıklarını korumak için gerekli güvenlik önlemlerini alması gerekiyor.