تعرض Poolz لهجوم أدى إلى خسارة تقدر بحوالي 66.5 ألف دولار
في الآونة الأخيرة، أثار هجوم على Poolz اهتمامًا واسعًا في مجتمع العملات المشفرة. وفقًا للبيانات على السلسلة، وقع الهجوم في 15 مارس 2023، وشمل عدة شبكات مثل Ethereum و BNB Chain و Polygon. استغل المهاجمون ثغرة في الفائض الحسابي في العقد الذكي، وسرقوا بنجاح كمية كبيرة من الرموز، تقدر قيمتها الإجمالية بحوالي 665,000 دولار.
الهجوم الحالي يشمل مجموعة متنوعة من الرموز، بما في ذلك MEE وESNC وDON وASW وKMON وPOOLZ. بعض الرموز التي حصل عليها المهاجمون قد تم تحويلها إلى BNB، ولكن حتى الآن، لم يتم نقل هذه الأموال.
تتكون عملية الهجوم بشكل رئيسي من ثلاث خطوات:
قام المهاجم أولاً بتحويل كمية معينة من رموز MNZ من خلال بورصة لامركزية معينة.
بعد ذلك، قام المهاجم باستدعاء دالة CreateMassPools. كان من المفترض أن تسمح هذه الدالة للمستخدمين بإنشاء مجمعات السيولة بشكل جماعي وتوفير السيولة الأولية. ومع ذلك، بسبب وجود مشكلة تجاوز سعة الأعداد في دالة getArraySum، تمكن المهاجم من استغلال هذه الثغرة. على وجه التحديد، كانت المصفوفة _StartAmount التي قدمها المهاجم تحتوي على قيم تتجاوز الحد الأقصى لـ uint256، مما أدى إلى تجاوز نتيجة الجمع، وبالتالي كانت القيمة المرجعة 1. وهذا جعل المهاجم يحتاج فقط إلى إدخال رمز واحد، ليتم تسجيل كمية سيولة تتجاوز الكمية الفعلية في النظام.
أخيرًا، قام المهاجم باستدعاء دالة السحب لسحب الرموز، وأكمل عملية الهجوم بأكملها.
تسلط هذه الحادثة الضوء مرة أخرى على أهمية أمان العقود الذكية، لا سيما عند التعامل مع العمليات الحسابية ذات الأرقام الكبيرة. لمنع حدوث مشكلات مماثلة، يجب على المطورين النظر في استخدام إصدارات أحدث من لغة البرمجة Solidity، حيث تقوم هذه الإصدارات بإجراء فحوصات للزيادة بشكل تلقائي أثناء عملية التجميع. بالنسبة للمشاريع التي تستخدم إصدارات قديمة من Solidity، يُنصح باستخدام مكتبة SafeMath المقدمة من OpenZeppelin لمنع مشاكل زيادة الأعداد الصحيحة.
تذكرنا هذه الحادثة الأمنية بأن الأمان هو دائمًا الاعتبار الأول في مجال blockchain سريع التطور. يجب على فرق المشاريع باستمرار مراجعة وتحديث تدابير الأمان الخاصة بهم، ويجب على المستخدمين أيضًا أن يظلوا يقظين وأن يشاركوا بحذر في أنشطة DeFi المختلفة.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تعرضت Poolz لهجوم تجاوز عدد صحيح مما أدى إلى خسارة 665000 دولار أمريكي
تعرض Poolz لهجوم أدى إلى خسارة تقدر بحوالي 66.5 ألف دولار
في الآونة الأخيرة، أثار هجوم على Poolz اهتمامًا واسعًا في مجتمع العملات المشفرة. وفقًا للبيانات على السلسلة، وقع الهجوم في 15 مارس 2023، وشمل عدة شبكات مثل Ethereum و BNB Chain و Polygon. استغل المهاجمون ثغرة في الفائض الحسابي في العقد الذكي، وسرقوا بنجاح كمية كبيرة من الرموز، تقدر قيمتها الإجمالية بحوالي 665,000 دولار.
الهجوم الحالي يشمل مجموعة متنوعة من الرموز، بما في ذلك MEE وESNC وDON وASW وKMON وPOOLZ. بعض الرموز التي حصل عليها المهاجمون قد تم تحويلها إلى BNB، ولكن حتى الآن، لم يتم نقل هذه الأموال.
تتكون عملية الهجوم بشكل رئيسي من ثلاث خطوات:
قام المهاجم أولاً بتحويل كمية معينة من رموز MNZ من خلال بورصة لامركزية معينة.
بعد ذلك، قام المهاجم باستدعاء دالة CreateMassPools. كان من المفترض أن تسمح هذه الدالة للمستخدمين بإنشاء مجمعات السيولة بشكل جماعي وتوفير السيولة الأولية. ومع ذلك، بسبب وجود مشكلة تجاوز سعة الأعداد في دالة getArraySum، تمكن المهاجم من استغلال هذه الثغرة. على وجه التحديد، كانت المصفوفة _StartAmount التي قدمها المهاجم تحتوي على قيم تتجاوز الحد الأقصى لـ uint256، مما أدى إلى تجاوز نتيجة الجمع، وبالتالي كانت القيمة المرجعة 1. وهذا جعل المهاجم يحتاج فقط إلى إدخال رمز واحد، ليتم تسجيل كمية سيولة تتجاوز الكمية الفعلية في النظام.
تسلط هذه الحادثة الضوء مرة أخرى على أهمية أمان العقود الذكية، لا سيما عند التعامل مع العمليات الحسابية ذات الأرقام الكبيرة. لمنع حدوث مشكلات مماثلة، يجب على المطورين النظر في استخدام إصدارات أحدث من لغة البرمجة Solidity، حيث تقوم هذه الإصدارات بإجراء فحوصات للزيادة بشكل تلقائي أثناء عملية التجميع. بالنسبة للمشاريع التي تستخدم إصدارات قديمة من Solidity، يُنصح باستخدام مكتبة SafeMath المقدمة من OpenZeppelin لمنع مشاكل زيادة الأعداد الصحيحة.
تذكرنا هذه الحادثة الأمنية بأن الأمان هو دائمًا الاعتبار الأول في مجال blockchain سريع التطور. يجب على فرق المشاريع باستمرار مراجعة وتحديث تدابير الأمان الخاصة بهم، ويجب على المستخدمين أيضًا أن يظلوا يقظين وأن يشاركوا بحذر في أنشطة DeFi المختلفة.