Poolz, aritmetik taşma açığı saldırısına uğradı, yaklaşık 66.5 bin dolar kaybetti.
Son günlerde, Poolz platformuna yönelik bir saldırı olayı sektörde dikkat çekti. Zincir üzerindeki izleme verilerine göre, saldırı 15 Mart 2023 tarihinde gerçekleşti ve Ethereum, BNB Chain ve Polygon gibi birçok ağı kapsıyordu. Saldırgan, akıllı sözleşmedeki aritmetik taşma açığını kullanarak büyük miktarda token çalmayı başardı; toplam değer yaklaşık 665.000 dolar.
Saldırgan, CreateMassPools fonksiyonunu ustaca manipüle ederek, getArraySum fonksiyonundaki tamsayı taşma sorununu kullandı. Daha spesifik olarak, saldırgan, toplam sonucunun uint256 aralığını aşmasını sağlayacak özel bir girdi dizisi oluşturdu ve bu da fonksiyonun dönüş değerinin 1 olmasına neden oldu. Ancak, sözleşme havuz özelliklerini kaydederken hala orijinal _StartAmount değerini kullandığı için ciddi bir finansal kayıp meydana geldi.
Çalınan varlıklar, MEE, ESNC, DON, ASW, KMON, POOLZ gibi çeşitli ERC-20 token'larını içermektedir. Saldırgan, elde ettiği bazı token'ları BNB'ye çevirmiştir, ancak şu ana kadar bu fonlar saldırganın adresinden transfer edilmemiştir.
Bu olay, akıllı sözleşmelerin güvenlik denetiminin önemini bir kez daha vurgulamaktadır. Benzer aritmetik taşma sorunlarını önlemek için, uzmanlar geliştiricilere daha yeni versiyonlar olan Solidity programlama dilini kullanmalarını önermektedir, çünkü bu versiyonlar derleme sürecinde otomatik olarak taşma kontrolleri yapmaktadır. Daha eski versiyon Solidity kullanan projeler için, sözleşmenin güvenliğini artırmak amacıyla OpenZeppelin'in SafeMath kütüphanesinin entegrasyonu düşünülebilir.
Bu saldırı olayı, blockchain teknolojisinin hızlı gelişimi sırasında güvenlik sorunlarının asla göz ardı edilmemesi gerektiğini hatırlatıyor. Geliştirici ekipleri, kullanıcı varlıklarını benzer saldırılara karşı korumak için sözleşme denetimlerine daha fazla önem vermeli ve kapsamlı güvenlik önlemleri almalıdır.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
18 Likes
Reward
18
3
Repost
Share
Comment
0/400
WinterWarmthCat
· 08-14 22:23
Yine taşma... Bu kod denetimi boşa mı gitti?
View OriginalReply0
NFTragedy
· 08-14 22:20
Bu sefer hızlı olun! Günde 665.000 kayboldu.
View OriginalReply0
AirdropSkeptic
· 08-14 22:15
Bu kadar parayla kara para aklamak mı? İnsanların layer2'nin güvenliğinin düşük olduğunu söylemesine şaşmamalı.
Poolz, aritmetik taşma açığı saldırısına uğradı, 665.000 dolar kaybetti.
Poolz, aritmetik taşma açığı saldırısına uğradı, yaklaşık 66.5 bin dolar kaybetti.
Son günlerde, Poolz platformuna yönelik bir saldırı olayı sektörde dikkat çekti. Zincir üzerindeki izleme verilerine göre, saldırı 15 Mart 2023 tarihinde gerçekleşti ve Ethereum, BNB Chain ve Polygon gibi birçok ağı kapsıyordu. Saldırgan, akıllı sözleşmedeki aritmetik taşma açığını kullanarak büyük miktarda token çalmayı başardı; toplam değer yaklaşık 665.000 dolar.
Saldırgan, CreateMassPools fonksiyonunu ustaca manipüle ederek, getArraySum fonksiyonundaki tamsayı taşma sorununu kullandı. Daha spesifik olarak, saldırgan, toplam sonucunun uint256 aralığını aşmasını sağlayacak özel bir girdi dizisi oluşturdu ve bu da fonksiyonun dönüş değerinin 1 olmasına neden oldu. Ancak, sözleşme havuz özelliklerini kaydederken hala orijinal _StartAmount değerini kullandığı için ciddi bir finansal kayıp meydana geldi.
Çalınan varlıklar, MEE, ESNC, DON, ASW, KMON, POOLZ gibi çeşitli ERC-20 token'larını içermektedir. Saldırgan, elde ettiği bazı token'ları BNB'ye çevirmiştir, ancak şu ana kadar bu fonlar saldırganın adresinden transfer edilmemiştir.
Bu olay, akıllı sözleşmelerin güvenlik denetiminin önemini bir kez daha vurgulamaktadır. Benzer aritmetik taşma sorunlarını önlemek için, uzmanlar geliştiricilere daha yeni versiyonlar olan Solidity programlama dilini kullanmalarını önermektedir, çünkü bu versiyonlar derleme sürecinde otomatik olarak taşma kontrolleri yapmaktadır. Daha eski versiyon Solidity kullanan projeler için, sözleşmenin güvenliğini artırmak amacıyla OpenZeppelin'in SafeMath kütüphanesinin entegrasyonu düşünülebilir.
Bu saldırı olayı, blockchain teknolojisinin hızlı gelişimi sırasında güvenlik sorunlarının asla göz ardı edilmemesi gerektiğini hatırlatıyor. Geliştirici ekipleri, kullanıcı varlıklarını benzer saldırılara karşı korumak için sözleşme denetimlerine daha fazla önem vermeli ve kapsamlı güvenlik önlemleri almalıdır.