Poolz saldırıya uğradı ve yaklaşık 665.000 dolar kaybetti
Son günlerde, Poolz'a yönelik bir saldırı olayı kripto para topluluğunda geniş bir ilgi uyandırdı. Zincir üstü verilere göre, saldırı 15 Mart 2023'te gerçekleşti ve Ethereum, BNB Chain ve Polygon gibi birçok ağı kapsadı. Saldırganlar, akıllı sözleşmelerdeki aritmetik taşma açığını kullanarak büyük miktarda token çalmayı başardı ve toplam değeri yaklaşık 665,000 dolara ulaştı.
Bu saldırıda MEE, ESNC, DON, ASW, KMON, POOLZ gibi çeşitli tokenler yer almaktadır. Saldırganların elde ettiği bazı tokenler BNB'ye dönüştürülmüştür, ancak şu ana kadar bu fonlar henüz transfer edilmemiştir.
Saldırı süreci esasen üç aşamaya ayrılır:
Saldırgan, önce belirli bir miktarda MNZ token'ını bir merkeziyetsiz borsa aracılığıyla değiştirdi.
Ardından, saldırgan CreateMassPools fonksiyonunu çağırdı. Bu fonksiyon, kullanıcıların toplu olarak likidite havuzları oluşturmalarını ve başlangıç likiditesi sağlamalarını mümkün kılmalıydı. Ancak, getArraySum fonksiyonundaki aritmetik taşma sorunu nedeniyle, saldırgan bu açığı kullanabildi. Özellikle, saldırganın gönderdiği _StartAmount dizisi, uint256 üst sınırını aşan değerler içeriyordu ve bu da toplama sonucunun taşmasına neden oldu ve nihai dönen değer 1 oldu. Bu, saldırganın sadece 1 token transfer etmesi gerektiği anlamına geliyordu, böylece sistemde gerçek miktardan çok daha fazla likidite kaydedebiliyordu.
Son olarak, saldırgan withdraw fonksiyonunu çağırarak tokenleri çekti ve tüm saldırı sürecini tamamladı.
Bu olay, akıllı sözleşmelerin güvenliğinin önemini bir kez daha vurguladı, özellikle büyük sayısal işlemlerle uğraşırken dikkatli olmak gerekmektedir. Benzer sorunların önlenmesi için geliştiricilerin, derleme sırasında otomatik olarak taşma kontrolü yapan daha yeni sürümlerini kullanmayı düşünmeleri önerilir. Daha eski sürüm Solidity kullanan projeler için, tam sayı taşma sorunlarını önlemek amacıyla OpenZeppelin tarafından sağlanan SafeMath kütüphanesinin kullanılması önerilir.
Bu saldırı olayı, hızlı gelişen blockchain alanında güvenliğin her zaman öncelikli bir faktör olduğunu hatırlatıyor. Proje sahipleri güvenlik önlemlerini sürekli olarak gözden geçirmeli ve güncellemelidir, kullanıcılar da dikkatli olmalı ve çeşitli DeFi etkinliklerine temkinli bir şekilde katılmalıdır.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
15 Likes
Reward
15
3
Share
Comment
0/400
Degentleman
· 9h ago
Bir başka akıllı sözleşme taşması, tsk tsk.
View OriginalReply0
MevTears
· 13h ago
Yine Klip Kuponlar ile kazıklanıldı.
View OriginalReply0
BearMarketSurvivor
· 14h ago
Çaylak tutorialunun ilk dersi: Farklı yollarla ölme
Poolz, aritmetik taşma saldırısına uğradı ve 665.000 dolar kaybetti.
Poolz saldırıya uğradı ve yaklaşık 665.000 dolar kaybetti
Son günlerde, Poolz'a yönelik bir saldırı olayı kripto para topluluğunda geniş bir ilgi uyandırdı. Zincir üstü verilere göre, saldırı 15 Mart 2023'te gerçekleşti ve Ethereum, BNB Chain ve Polygon gibi birçok ağı kapsadı. Saldırganlar, akıllı sözleşmelerdeki aritmetik taşma açığını kullanarak büyük miktarda token çalmayı başardı ve toplam değeri yaklaşık 665,000 dolara ulaştı.
Bu saldırıda MEE, ESNC, DON, ASW, KMON, POOLZ gibi çeşitli tokenler yer almaktadır. Saldırganların elde ettiği bazı tokenler BNB'ye dönüştürülmüştür, ancak şu ana kadar bu fonlar henüz transfer edilmemiştir.
Saldırı süreci esasen üç aşamaya ayrılır:
Saldırgan, önce belirli bir miktarda MNZ token'ını bir merkeziyetsiz borsa aracılığıyla değiştirdi.
Ardından, saldırgan CreateMassPools fonksiyonunu çağırdı. Bu fonksiyon, kullanıcıların toplu olarak likidite havuzları oluşturmalarını ve başlangıç likiditesi sağlamalarını mümkün kılmalıydı. Ancak, getArraySum fonksiyonundaki aritmetik taşma sorunu nedeniyle, saldırgan bu açığı kullanabildi. Özellikle, saldırganın gönderdiği _StartAmount dizisi, uint256 üst sınırını aşan değerler içeriyordu ve bu da toplama sonucunun taşmasına neden oldu ve nihai dönen değer 1 oldu. Bu, saldırganın sadece 1 token transfer etmesi gerektiği anlamına geliyordu, böylece sistemde gerçek miktardan çok daha fazla likidite kaydedebiliyordu.
Bu olay, akıllı sözleşmelerin güvenliğinin önemini bir kez daha vurguladı, özellikle büyük sayısal işlemlerle uğraşırken dikkatli olmak gerekmektedir. Benzer sorunların önlenmesi için geliştiricilerin, derleme sırasında otomatik olarak taşma kontrolü yapan daha yeni sürümlerini kullanmayı düşünmeleri önerilir. Daha eski sürüm Solidity kullanan projeler için, tam sayı taşma sorunlarını önlemek amacıyla OpenZeppelin tarafından sağlanan SafeMath kütüphanesinin kullanılması önerilir.
Bu saldırı olayı, hızlı gelişen blockchain alanında güvenliğin her zaman öncelikli bir faktör olduğunu hatırlatıyor. Proje sahipleri güvenlik önlemlerini sürekli olarak gözden geçirmeli ve güncellemelidir, kullanıcılar da dikkatli olmalı ve çeşitli DeFi etkinliklerine temkinli bir şekilde katılmalıdır.