تم استهداف Poolz بهجوم ثغرة تدفق حسابي، مع خسائر تقدر بحوالي 66.5 ألف دولار أمريكي
في الآونة الأخيرة، أثارت حادثة هجوم على منصة Poolz اهتمام الصناعة. وفقًا لبيانات المراقبة على السلسلة، وقع الهجوم في 15 مارس 2023، وشمل عدة شبكات مثل Ethereum و BNB Chain و Polygon. استغل المهاجمون ثغرة تدفق الحساب في العقد الذكي، مما أدى إلى سرقة كمية كبيرة من الرموز، بقيمة إجمالية تقدر بحوالي 665,000 دولار.
استغل المهاجمون مشكلة تجاوز العدد الصحيح في دالة getArraySum من خلال التلاعب الذكي بدالة CreateMassPools. على وجه التحديد، بنى المهاجمون مصفوفة إدخال خاصة أدت إلى تجاوز نتيجة الجمع نطاق uint256، مما أدى إلى إرجاع قيمة دالة تبلغ 1. ومع ذلك، استخدم العقد القيمة الأصلية _StartAmount عند تسجيل خصائص المسبح، مما تسبب في خسائر مالية جسيمة.
تشمل الأصول المسروقة العديد من رموز ERC-20، مثل MEE و ESNC و DON و ASW و KMON و POOLZ وغيرها. قام المهاجمون بتحويل جزء من الرموز المربحة إلى BNB، ولكن حتى الآن، لم يتم نقل هذه الأموال من عنوان المهاجمين.
تسلط هذه الحادثة الضوء مرة أخرى على أهمية تدقيق أمان العقود الذكية. لمنع حدوث مشاكل مثل تجاوز الحسابات، ينصح المحترفون المطورين باستخدام إصدارات أحدث من لغة البرمجة Solidity، حيث تقوم هذه الإصدارات تلقائيًا بإجراء فحوصات تجاوز أثناء عملية الترجمة. بالنسبة للمشاريع التي تستخدم إصدارًا قديمًا من Solidity، يمكن النظر في إدخال مكتبة SafeMath من OpenZeppelin لتعزيز أمان العقود.
تُذكّرنا هذه الحادثة الهجومية بأن قضية الأمان لا يمكن تجاهلها في ظل التطور السريع لتكنولوجيا البلوكشين. يجب على فرق التطوير أن تعطي أهمية أكبر لتدقيق العقود، واتخاذ تدابير أمان شاملة لحماية أصول المستخدمين من تهديدات مثل هذه الهجمات.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 18
أعجبني
18
3
إعادة النشر
مشاركة
تعليق
0/400
WinterWarmthCat
· 08-14 22:23
مرة أخرى تسرب... هل كانت مراجعة الشيفرة عديمة الفائدة؟
شاهد النسخة الأصليةرد0
NFTragedy
· 08-14 22:20
هذه الموجة أسرع! فقدنا 665000 في يوم واحد.
شاهد النسخة الأصليةرد0
AirdropSkeptic
· 08-14 22:15
هل يجرؤون على الاحتيال بمثل هذا المبلغ القليل؟ لا عجب أن الجميع يقول إن أمان layer2 ضعيف.
تعرض Poolz لهجوم ثغرة تدفق حسابي بخسارة قدرها 665,000 دولار أمريكي
تم استهداف Poolz بهجوم ثغرة تدفق حسابي، مع خسائر تقدر بحوالي 66.5 ألف دولار أمريكي
في الآونة الأخيرة، أثارت حادثة هجوم على منصة Poolz اهتمام الصناعة. وفقًا لبيانات المراقبة على السلسلة، وقع الهجوم في 15 مارس 2023، وشمل عدة شبكات مثل Ethereum و BNB Chain و Polygon. استغل المهاجمون ثغرة تدفق الحساب في العقد الذكي، مما أدى إلى سرقة كمية كبيرة من الرموز، بقيمة إجمالية تقدر بحوالي 665,000 دولار.
استغل المهاجمون مشكلة تجاوز العدد الصحيح في دالة getArraySum من خلال التلاعب الذكي بدالة CreateMassPools. على وجه التحديد، بنى المهاجمون مصفوفة إدخال خاصة أدت إلى تجاوز نتيجة الجمع نطاق uint256، مما أدى إلى إرجاع قيمة دالة تبلغ 1. ومع ذلك، استخدم العقد القيمة الأصلية _StartAmount عند تسجيل خصائص المسبح، مما تسبب في خسائر مالية جسيمة.
تشمل الأصول المسروقة العديد من رموز ERC-20، مثل MEE و ESNC و DON و ASW و KMON و POOLZ وغيرها. قام المهاجمون بتحويل جزء من الرموز المربحة إلى BNB، ولكن حتى الآن، لم يتم نقل هذه الأموال من عنوان المهاجمين.
تسلط هذه الحادثة الضوء مرة أخرى على أهمية تدقيق أمان العقود الذكية. لمنع حدوث مشاكل مثل تجاوز الحسابات، ينصح المحترفون المطورين باستخدام إصدارات أحدث من لغة البرمجة Solidity، حيث تقوم هذه الإصدارات تلقائيًا بإجراء فحوصات تجاوز أثناء عملية الترجمة. بالنسبة للمشاريع التي تستخدم إصدارًا قديمًا من Solidity، يمكن النظر في إدخال مكتبة SafeMath من OpenZeppelin لتعزيز أمان العقود.
تُذكّرنا هذه الحادثة الهجومية بأن قضية الأمان لا يمكن تجاهلها في ظل التطور السريع لتكنولوجيا البلوكشين. يجب على فرق التطوير أن تعطي أهمية أكبر لتدقيق العقود، واتخاذ تدابير أمان شاملة لحماية أصول المستخدمين من تهديدات مثل هذه الهجمات.