Poolz saldırıya uğradı, yaklaşık 66.5 bin dolar kaybetti
Son günlerde, Poolz platformu ciddi bir güvenlik olayıyla karşılaştı ve yaklaşık 66.5 bin dolar kayba uğradı. Bu saldırı, Ethereum, BNB Akıllı Zinciri ve Polygon dahil olmak üzere birçok blok zincirini kapsadı.
Saldırganlar, Poolz sözleşmesindeki bir aritmetik taşma açığından yararlandı. Özellikle, sorun CreateMassPools fonksiyonundaki getArraySum fonksiyonunda ortaya çıkıyor. Bu fonksiyon, token sayısını hesaplarken büyük sayıları düzgün bir şekilde işleyemediği için taşma meydana geliyor ve bu da saldırganların çok düşük bir maliyetle büyük miktarda token elde etmesine olanak tanıyor.
Saldırı süreci büyük ölçüde şu şekildedir:
Saldırgan önce bir DEX'te az miktarda MNZ token'ı değiştirdi.
Ardından, güvenlik açığı olan CreateMassPools fonksiyonu çağrıldı. Bu fonksiyon, kullanıcıların toplu olarak likidite havuzları oluşturmasını ve başlangıç likiditesi sağlamasını sağlamalıydı.
Saldırgan, özenle yapılandırılmış parametreler aracılığıyla getArraySum fonksiyonundaki tam sayı taşmasını tetikledi. Bu, sistemin saldırganın büyük miktarda token sağladığını yanlış bir şekilde düşünmesine neden oldu, oysa ki gerçekte yalnızca çok az bir miktar transfer edildi.
Son olarak, saldırgan withdraw fonksiyonu aracılığıyla kendisine ait olmayan tokenleri çekerek saldırıyı tamamladı.
Bu olay, MEE, ESNC, DON, ASW, KMON, POOLZ gibi çeşitli tokenleri içermektedir. Saldırganlar, elde ettikleri kazançların bir kısmını BNB'ye çevirmiştir, ancak rapor zamanında fonları henüz dışarı çıkarmamıştır.
Benzer sorunların önlenmesi için, güvenlik uzmanları geliştiricilere daha yeni sürümlerde Solidity programlama dilini kullanmalarını öneriyor; bu sürümler derleme sırasında otomatik olarak taşma kontrolü yapmaktadır. Eski sürüm Solidity kullanan projeler için, tam sayılarda taşmayı önlemek amacıyla OpenZeppelin'in SafeMath kütüphanesinin kullanılması düşünülebilir.
Bu olay, akıllı sözleşme geliştirme sürecinde güvenlik denetimlerinin önemini bir kez daha vurgulamaktadır, özellikle de büyük hesaplamalar içeren işlevler söz konusu olduğunda. Ayrıca, yatırımcıları ve kullanıcıları yeni DeFi projelerine dikkatli yaklaşmaları ve projelerin güvenlik durumunu sürekli takip etmeleri konusunda uyarmaktadır.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
13 Likes
Reward
13
6
Repost
Share
Comment
0/400
ser_we_are_ngmi
· 2h ago
Yine bir taşma açığı, düşüş düşüş devam ediyor.
View OriginalReply0
BlockchainThinkTank
· 2h ago
Deneyime dayanarak, bu tür taşma açıkları geliştirici ekibinin temel düzey sorunlarına aittir, bu tür projelerden uzak durulması önerilir.
View OriginalReply0
NFTRegretDiary
· 2h ago
Yine bir taşma açığı, akıllı sözleşmelerde acemi olanlar bu dünyadan çıkmalı.
View OriginalReply0
MEVHunterBearish
· 2h ago
Yine bir kez daha kazıklandım.
View OriginalReply0
MeltdownSurvivalist
· 2h ago
Yine hacker para kazandı.
View OriginalReply0
MevHunter
· 2h ago
Kodlar asla yalan söylemez, bu coin kesinlikle bitti.
Poolz, Hacker saldırısına uğradı, Çoklu zincir kaybı 66.5 bin dolar.
Poolz saldırıya uğradı, yaklaşık 66.5 bin dolar kaybetti
Son günlerde, Poolz platformu ciddi bir güvenlik olayıyla karşılaştı ve yaklaşık 66.5 bin dolar kayba uğradı. Bu saldırı, Ethereum, BNB Akıllı Zinciri ve Polygon dahil olmak üzere birçok blok zincirini kapsadı.
Saldırganlar, Poolz sözleşmesindeki bir aritmetik taşma açığından yararlandı. Özellikle, sorun CreateMassPools fonksiyonundaki getArraySum fonksiyonunda ortaya çıkıyor. Bu fonksiyon, token sayısını hesaplarken büyük sayıları düzgün bir şekilde işleyemediği için taşma meydana geliyor ve bu da saldırganların çok düşük bir maliyetle büyük miktarda token elde etmesine olanak tanıyor.
Saldırı süreci büyük ölçüde şu şekildedir:
Saldırgan önce bir DEX'te az miktarda MNZ token'ı değiştirdi.
Ardından, güvenlik açığı olan CreateMassPools fonksiyonu çağrıldı. Bu fonksiyon, kullanıcıların toplu olarak likidite havuzları oluşturmasını ve başlangıç likiditesi sağlamasını sağlamalıydı.
Saldırgan, özenle yapılandırılmış parametreler aracılığıyla getArraySum fonksiyonundaki tam sayı taşmasını tetikledi. Bu, sistemin saldırganın büyük miktarda token sağladığını yanlış bir şekilde düşünmesine neden oldu, oysa ki gerçekte yalnızca çok az bir miktar transfer edildi.
Son olarak, saldırgan withdraw fonksiyonu aracılığıyla kendisine ait olmayan tokenleri çekerek saldırıyı tamamladı.
Bu olay, MEE, ESNC, DON, ASW, KMON, POOLZ gibi çeşitli tokenleri içermektedir. Saldırganlar, elde ettikleri kazançların bir kısmını BNB'ye çevirmiştir, ancak rapor zamanında fonları henüz dışarı çıkarmamıştır.
Benzer sorunların önlenmesi için, güvenlik uzmanları geliştiricilere daha yeni sürümlerde Solidity programlama dilini kullanmalarını öneriyor; bu sürümler derleme sırasında otomatik olarak taşma kontrolü yapmaktadır. Eski sürüm Solidity kullanan projeler için, tam sayılarda taşmayı önlemek amacıyla OpenZeppelin'in SafeMath kütüphanesinin kullanılması düşünülebilir.
Bu olay, akıllı sözleşme geliştirme sürecinde güvenlik denetimlerinin önemini bir kez daha vurgulamaktadır, özellikle de büyük hesaplamalar içeren işlevler söz konusu olduğunda. Ayrıca, yatırımcıları ve kullanıcıları yeni DeFi projelerine dikkatli yaklaşmaları ve projelerin güvenlik durumunu sürekli takip etmeleri konusunda uyarmaktadır.