Poolz projesi güvenlik açığına maruz kaldı, yaklaşık 66.5 bin dolar varlık etkilendi
Son günlerde, çapraz zincir projesi Poolz'a yönelik bir güvenlik olayı sektörde dikkat çekti. Blockchain güvenlik izleme verilerine göre, 15 Mart sabahı, Poolz'un Ethereum, BNB Chain ve Polygon ağlarındaki akıllı sözleşmeleri saldırıya uğradı ve çeşitli token varlıkları zarar gördü, toplam değer yaklaşık 66.5 milyon dolar.
Bu olay, MEE, ESNC, DON, ASW, KMON, POOLZ gibi çeşitli tokenleri içermektedir. Saldırganlar, akıllı sözleşmedeki bir aritmetik taşma açığını kullanarak token havuzunun oluşturulma sürecini başarıyla manipüle etmiştir. Şu anda, çalınan varlıkların bir kısmı BNB'ye dönüştürülmüştür, ancak henüz saldırganın adresinden transfer edilmemiştir.
Saldırganlar, esasen Poolz sözleşmesindeki CreateMassPools fonksiyonunun açığını kullandılar. Bu fonksiyon, token havuzlarını topluca oluşturmak ve başlangıç likiditesi sağlamak için kullanılmakta iken, içindeki getArraySum fonksiyonu tam sayı taşması sorunu barındırıyordu. Saldırganlar, dikkatlice hazırlanmış giriş parametreleriyle, toplama sonucunun uint256 türünün sınırlarını aşmasını sağladılar ve bu da gerçek aktarılan token miktarı ile kaydedilen miktar arasında ciddi bir uyumsuzluğa yol açtı.
Bu açık, saldırganların sistemde büyük miktarda token bakiyesi kaydetmesine olanak tanıyarak çok az miktarda token girişi ile işlem yapabilmelerine neden oldu. Ardından, saldırganlar withdraw fonksiyonunu çağırarak bu sahte kaydedilen tokenleri çektiler ve böylece saldırı sürecini tamamladılar.
Bu tür aritmetik taşma sorunları akıllı sözleşme geliştirmede nadir değildir. Benzer risklerden korunmak için geliştiricilerin daha yeni sürüm Solidity programlama dilini kullanmaları gerekmektedir; bu sürümler derleme sırasında otomatik olarak taşma kontrolü yapmaktadır. Daha eski sürüm Solidity kullanan projeler için, taşma riskini önlemek amacıyla tam sayı işlemlerini yönetmek için OpenZeppelin'in SafeMath kütüphanesinin kullanılması önerilmektedir.
Bu olay, blok zinciri projeleri ve geliştiricileri için akıllı sözleşme tasarımı ve uygulanması sürecinde güvenliğe özellikle dikkat etmenin önemini bir kez daha hatırlatmaktadır. Aynı zamanda, potansiyel güvenlik açıklarını erkenden tespit edip düzeltmek için düzenli güvenlik denetimleri ve hata avcılığı programlarının önemini vurgulamaktadır.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
15 Likes
Reward
15
4
Share
Comment
0/400
SignatureVerifier
· 20h ago
smh... yetersiz giriş doğrulamasının bir başka klasik örneği
View OriginalReply0
CoffeeNFTrader
· 20h ago
Bir başka soğuk proje.
View OriginalReply0
nft_widow
· 20h ago
Yine bir enayiler için insanları enayi yerine koymak projesi bitti.
Poolz Hacker saldırısına uğradı, 665.000 $ değerinde varlık kaybı yaşandı.
Poolz projesi güvenlik açığına maruz kaldı, yaklaşık 66.5 bin dolar varlık etkilendi
Son günlerde, çapraz zincir projesi Poolz'a yönelik bir güvenlik olayı sektörde dikkat çekti. Blockchain güvenlik izleme verilerine göre, 15 Mart sabahı, Poolz'un Ethereum, BNB Chain ve Polygon ağlarındaki akıllı sözleşmeleri saldırıya uğradı ve çeşitli token varlıkları zarar gördü, toplam değer yaklaşık 66.5 milyon dolar.
Bu olay, MEE, ESNC, DON, ASW, KMON, POOLZ gibi çeşitli tokenleri içermektedir. Saldırganlar, akıllı sözleşmedeki bir aritmetik taşma açığını kullanarak token havuzunun oluşturulma sürecini başarıyla manipüle etmiştir. Şu anda, çalınan varlıkların bir kısmı BNB'ye dönüştürülmüştür, ancak henüz saldırganın adresinden transfer edilmemiştir.
Saldırganlar, esasen Poolz sözleşmesindeki CreateMassPools fonksiyonunun açığını kullandılar. Bu fonksiyon, token havuzlarını topluca oluşturmak ve başlangıç likiditesi sağlamak için kullanılmakta iken, içindeki getArraySum fonksiyonu tam sayı taşması sorunu barındırıyordu. Saldırganlar, dikkatlice hazırlanmış giriş parametreleriyle, toplama sonucunun uint256 türünün sınırlarını aşmasını sağladılar ve bu da gerçek aktarılan token miktarı ile kaydedilen miktar arasında ciddi bir uyumsuzluğa yol açtı.
Bu açık, saldırganların sistemde büyük miktarda token bakiyesi kaydetmesine olanak tanıyarak çok az miktarda token girişi ile işlem yapabilmelerine neden oldu. Ardından, saldırganlar withdraw fonksiyonunu çağırarak bu sahte kaydedilen tokenleri çektiler ve böylece saldırı sürecini tamamladılar.
Bu tür aritmetik taşma sorunları akıllı sözleşme geliştirmede nadir değildir. Benzer risklerden korunmak için geliştiricilerin daha yeni sürüm Solidity programlama dilini kullanmaları gerekmektedir; bu sürümler derleme sırasında otomatik olarak taşma kontrolü yapmaktadır. Daha eski sürüm Solidity kullanan projeler için, taşma riskini önlemek amacıyla tam sayı işlemlerini yönetmek için OpenZeppelin'in SafeMath kütüphanesinin kullanılması önerilmektedir.
Bu olay, blok zinciri projeleri ve geliştiricileri için akıllı sözleşme tasarımı ve uygulanması sürecinde güvenliğe özellikle dikkat etmenin önemini bir kez daha hatırlatmaktadır. Aynı zamanda, potansiyel güvenlik açıklarını erkenden tespit edip düzeltmek için düzenli güvenlik denetimleri ve hata avcılığı programlarının önemini vurgulamaktadır.