Poolz projesi saldırıya uğradı, yaklaşık 66.5 bin dolar zarar.
Son günlerde, çok zincirli proje Poolz'a yönelik bir saldırı olayı sektörde dikkat çekti. Blockchain izleme verilerine göre, saldırı 15 Mart 2023 tarihinde gerçekleşti ve Ethereum, Binance ve Polygon üç zinciri kapsıyordu.
Saldırgan, MEE, ESNC, DON, ASW, KMON, POOLZ gibi birçok tokeni başarıyla çaldı ve toplam değeri yaklaşık 665.000 dolar. Şu anda, çalınan varlıkların bir kısmı BNB'ye dönüştürüldü, ancak henüz saldırganın cüzdanından çıkarılmadı.
Bu saldırı esasen Poolz projesinin akıllı sözleşmesindeki bir aritmetik taşma açığını kullandı. Saldırganlar, CreateMassPools fonksiyonunu çağırarak, getArraySum fonksiyonundaki tam sayı taşma sorununu ustaca kullandılar. Özel olarak, saldırganlar, toplam sonucun uint256'nın maksimum değerini aşmasını sağlayacak bir özel dizi oluşturdu ve bu da fonksiyonun geri dönüş değerinin 1 olmasına yol açtı.
Ancak, sözleşme havuzun özelliklerini kaydederken gerçek olarak yatırılan token miktarını değil, ham girdi değerini kullanmıştır. Bu, saldırganın sisteme yalnızca 1 token yatırarak büyük bir değer kaydetmesine olanak tanımıştır. Ardından, saldırgan withdraw fonksiyonu aracılığıyla gerçek yatırılan miktardan çok daha fazlasını çekerek saldırıyı tamamlamıştır.
Bu olay, akıllı sözleşmelerin güvenliğinin önemini bir kez daha vurgulamaktadır. Benzer sorunları önlemek için geliştiricilerin, yerleşik taşma kontrolü işlevselliğine sahip daha yeni sürüm Solidity derleyicilerini kullanmayı düşünmeleri gerekmektedir. Daha eski sürüm Solidity kullanan projeler için, tamsayı taşma riskini önlemek amacıyla OpenZeppelin'in SafeMath kütüphanesini kullanabilirler.
Bu saldırı, görünüşte basit matematik işlemlerinin bile blok zinciri ortamında ciddi güvenlik açıklarına yol açabileceğini hatırlatıyor. Proje ekiplerinin, kullanıcı varlıklarının güvenliğini sağlamak için akıllı sözleşmeleri daha dikkatli bir şekilde tasarlamaları ve incelemeleri gerekiyor.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
11 Likes
Reward
11
3
Share
Comment
0/400
ForeverBuyingDips
· 12h ago
Bir akıllı sözleşmeler açığı daha çalındı.
View OriginalReply0
NFTHoarder
· 12h ago
Bir gün görmemek, başka bir projenin daha kazanç sağladığı anlamına geliyor.
View OriginalReply0
OnchainSniper
· 12h ago
Yine çıplak akıllı sözleşmeler, küçük bir mesele sadece~
Poolz, Hacker saldırısına uğradı, çoklu zincir varlık kaybı 66.5 milyon dolar.
Poolz projesi saldırıya uğradı, yaklaşık 66.5 bin dolar zarar.
Son günlerde, çok zincirli proje Poolz'a yönelik bir saldırı olayı sektörde dikkat çekti. Blockchain izleme verilerine göre, saldırı 15 Mart 2023 tarihinde gerçekleşti ve Ethereum, Binance ve Polygon üç zinciri kapsıyordu.
Saldırgan, MEE, ESNC, DON, ASW, KMON, POOLZ gibi birçok tokeni başarıyla çaldı ve toplam değeri yaklaşık 665.000 dolar. Şu anda, çalınan varlıkların bir kısmı BNB'ye dönüştürüldü, ancak henüz saldırganın cüzdanından çıkarılmadı.
Bu saldırı esasen Poolz projesinin akıllı sözleşmesindeki bir aritmetik taşma açığını kullandı. Saldırganlar, CreateMassPools fonksiyonunu çağırarak, getArraySum fonksiyonundaki tam sayı taşma sorununu ustaca kullandılar. Özel olarak, saldırganlar, toplam sonucun uint256'nın maksimum değerini aşmasını sağlayacak bir özel dizi oluşturdu ve bu da fonksiyonun geri dönüş değerinin 1 olmasına yol açtı.
Ancak, sözleşme havuzun özelliklerini kaydederken gerçek olarak yatırılan token miktarını değil, ham girdi değerini kullanmıştır. Bu, saldırganın sisteme yalnızca 1 token yatırarak büyük bir değer kaydetmesine olanak tanımıştır. Ardından, saldırgan withdraw fonksiyonu aracılığıyla gerçek yatırılan miktardan çok daha fazlasını çekerek saldırıyı tamamlamıştır.
Bu olay, akıllı sözleşmelerin güvenliğinin önemini bir kez daha vurgulamaktadır. Benzer sorunları önlemek için geliştiricilerin, yerleşik taşma kontrolü işlevselliğine sahip daha yeni sürüm Solidity derleyicilerini kullanmayı düşünmeleri gerekmektedir. Daha eski sürüm Solidity kullanan projeler için, tamsayı taşma riskini önlemek amacıyla OpenZeppelin'in SafeMath kütüphanesini kullanabilirler.
Bu saldırı, görünüşte basit matematik işlemlerinin bile blok zinciri ortamında ciddi güvenlik açıklarına yol açabileceğini hatırlatıyor. Proje ekiplerinin, kullanıcı varlıklarının güvenliğini sağlamak için akıllı sözleşmeleri daha dikkatli bir şekilde tasarlamaları ve incelemeleri gerekiyor.