مشروع Poolz يتعرض لثغرة أمنية، تأثرت أصول بقيمة حوالي 665,000 دولار
في الآونة الأخيرة، أثار حادث أمني يتعلق بمشروع Poolz عبر السلاسل اهتمام الصناعة. ووفقًا لبيانات مراقبة أمن blockchain، في الساعة 12:00 صباحًا في 15 مارس، تعرضت العقود الذكية لـ Poolz على شبكة Ethereum و BNB Chain و Polygon للهجوم، مما أدى إلى تضرر أصول رمزية متعددة، بقيمة إجمالية تبلغ حوالي 665,000 دولار.
تتعلق هذه الحادثة بعدة رموز، بما في ذلك MEE وESNC وDON وASW وKMON وPOOLZ وغيرها. استغل المهاجمون ثغرة تدفق رياضي في العقد الذكي، ونجحوا في التلاعب بعملية إنشاء مجموعة الرموز. حتى الآن، تم تبادل بعض الأصول المسروقة مقابل BNB، ولكن لم يتم نقلها بعد من عنوان المهاجم.
استغل المهاجمون ثغرة في دالة CreateMassPools في عقد Poolz. كانت هذه الدالة تستخدم في الأصل لإنشاء أحواض رمزية بشكل جماعي وتوفير السيولة الأولية، لكن دالة getArraySum تحتوي على مشكلة في تجاوز العدد الصحيح. قام المهاجمون من خلال معلمات إدخال مصممة بعناية، بجعل نتيجة الجمع تتجاوز نطاق نوع uint256، مما أدى إلى اختلاف كبير بين عدد الرموز المودعة فعليًا والعدد المسجل.
تسمح هذه الثغرة للمهاجمين بإدخال كمية قليلة جداً من الرموز، وتسجيل رصيد كبير من الرموز في النظام. بعد ذلك، يقوم المهاجمون باستدعاء دالة السحب لاسترداد هذه الرموز المسجلة بشكل مزيف، مما يكمل عملية الهجوم بأكملها.
تعتبر مشكلات تجاوز الحسابات من الأمور الشائعة في تطوير العقود الذكية. ولتجنب مثل هذه المخاطر، ينبغي على المطورين استخدام إصدارات أحدث من لغة برمجة Solidity، حيث تقوم هذه الإصدارات تلقائيًا بإجراء فحوصات لتجاوز السعة أثناء الترجمة. بالنسبة لمشاريع تستخدم إصدارات أقدم من Solidity، يُوصى بإدخال مكتبة SafeMath من OpenZeppelin للتعامل مع العمليات العددية، لتفادي مخاطر التجاوز.
تذكرنا هذه الحادثة مرة أخرى بأهمية الحرص على الأمان خلال تصميم وتنفيذ العقود الذكية من قبل مشروعات البلوك تشين والمطورين. كما تُبرز أهمية إجراء تدقيقات أمان دورية وبرامج مكافآت الثغرات لاكتشاف وإصلاح المخاطر الأمنية المحتملة في وقت مبكر.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 15
أعجبني
15
4
مشاركة
تعليق
0/400
SignatureVerifier
· منذ 23 س
smh... حالة نموذجية أخرى من عدم كفاية التحقق من صحة المدخلات
تعرضت Poolz لهجوم هاكر مما أدى إلى خسارة أصول بقيمة 665,000 دولار
مشروع Poolz يتعرض لثغرة أمنية، تأثرت أصول بقيمة حوالي 665,000 دولار
في الآونة الأخيرة، أثار حادث أمني يتعلق بمشروع Poolz عبر السلاسل اهتمام الصناعة. ووفقًا لبيانات مراقبة أمن blockchain، في الساعة 12:00 صباحًا في 15 مارس، تعرضت العقود الذكية لـ Poolz على شبكة Ethereum و BNB Chain و Polygon للهجوم، مما أدى إلى تضرر أصول رمزية متعددة، بقيمة إجمالية تبلغ حوالي 665,000 دولار.
تتعلق هذه الحادثة بعدة رموز، بما في ذلك MEE وESNC وDON وASW وKMON وPOOLZ وغيرها. استغل المهاجمون ثغرة تدفق رياضي في العقد الذكي، ونجحوا في التلاعب بعملية إنشاء مجموعة الرموز. حتى الآن، تم تبادل بعض الأصول المسروقة مقابل BNB، ولكن لم يتم نقلها بعد من عنوان المهاجم.
استغل المهاجمون ثغرة في دالة CreateMassPools في عقد Poolz. كانت هذه الدالة تستخدم في الأصل لإنشاء أحواض رمزية بشكل جماعي وتوفير السيولة الأولية، لكن دالة getArraySum تحتوي على مشكلة في تجاوز العدد الصحيح. قام المهاجمون من خلال معلمات إدخال مصممة بعناية، بجعل نتيجة الجمع تتجاوز نطاق نوع uint256، مما أدى إلى اختلاف كبير بين عدد الرموز المودعة فعليًا والعدد المسجل.
تسمح هذه الثغرة للمهاجمين بإدخال كمية قليلة جداً من الرموز، وتسجيل رصيد كبير من الرموز في النظام. بعد ذلك، يقوم المهاجمون باستدعاء دالة السحب لاسترداد هذه الرموز المسجلة بشكل مزيف، مما يكمل عملية الهجوم بأكملها.
تعتبر مشكلات تجاوز الحسابات من الأمور الشائعة في تطوير العقود الذكية. ولتجنب مثل هذه المخاطر، ينبغي على المطورين استخدام إصدارات أحدث من لغة برمجة Solidity، حيث تقوم هذه الإصدارات تلقائيًا بإجراء فحوصات لتجاوز السعة أثناء الترجمة. بالنسبة لمشاريع تستخدم إصدارات أقدم من Solidity، يُوصى بإدخال مكتبة SafeMath من OpenZeppelin للتعامل مع العمليات العددية، لتفادي مخاطر التجاوز.
تذكرنا هذه الحادثة مرة أخرى بأهمية الحرص على الأمان خلال تصميم وتنفيذ العقود الذكية من قبل مشروعات البلوك تشين والمطورين. كما تُبرز أهمية إجراء تدقيقات أمان دورية وبرامج مكافآت الثغرات لاكتشاف وإصلاح المخاطر الأمنية المحتملة في وقت مبكر.