Poolz, aritmetik taşma saldırısına uğradı, yaklaşık 665.000 dolar kayıp yaşadı
Son günlerde, Poolz'a yönelik bir saldırı olayı Ethereum, Binance Akıllı Zinciri ve Polygon ağlarında meydana geldi. Zincir üzerindeki veri izlemeye göre, saldırı 15 Mart 2023 tarihinde saat 03:16'da (UTC zamanında gerçekleşti. Bu saldırı, MEE, ESNC, DON, ASW, KMON, POOLZ gibi çeşitli tokenleri kapsıyor ve toplam kayıp yaklaşık 665.000 Dolar.
![Poolz, hesaplama taşması problemi nedeniyle saldırıya uğradı, yaklaşık 665K dolar kaybetti!])https://img-cdn.gateio.im/webp-social/moments-974bc1b1f017458e935bb53bf55cef3e.webp(
Saldırganlar, Poolz akıllı sözleşmesindeki bir aritmetik taşma açığını kullandılar. Özellikle, sorun CreateMassPools fonksiyonundaki getArraySum fonksiyonundan kaynaklanıyor. Bu fonksiyon, kullanıcıların toplu olarak havuz oluştururken sağladığı başlangıç likiditesini hesaplarken büyük sayıların toplanmasından kaynaklanan taşma durumunu doğru bir şekilde ele alamadı.
Saldırı süreci aşağıdaki gibidir:
Saldırgan öncelikle bir merkeziyetsiz borsa içinde az miktarda MNZ token'ı değiştirdi.
Ardından CreateMassPools fonksiyonunu çağırarak özenle hazırlanmış parametreleri geçin. _StartAmount dizisi iki değer içerir: biri uint256 sınırına yakın büyük bir sayı ve diğeri normal bir token miktarı.
getArraySum fonksiyonundaki toplama işleminin taşmasına bağlı olarak, nihai dönen değer 1'dir. Ancak, sözleşme havuz özelliklerini kaydederken hala orijinal _StartAmount değerini kullanmıştır.
Bu, saldırganların aslında sadece 1 token transfer etmesine neden olurken, akılda büyük bir likidite miktarı kaydedildi.
Son olarak, saldırgan withdraw fonksiyonunu çağırarak tokenları çeker ve saldırıyı tamamlar.
![Poolz, matematik taşması nedeniyle saldırıya uğradı, yaklaşık 665K dolar kayıp! ])https://img-cdn.gateio.im/webp-social/moments-7726863222e36bd3db4e3408503ba81c.webp(
Bu tür sorunların tekrar yaşanmaması için geliştiricilerin aşağıdaki önlemleri alması önerilir:
Daha yeni bir Solidity derleyici sürümü kullanın, bu sürümler otomatik olarak taşma kontrolü yapar.
Eğer eski versiyon Solidity kullanmanız gerekiyorsa, OpenZeppelin'in SafeMath kütüphanesi gibi üçüncü parti güvenlik kütüphanelerini kullanarak tam sayı işlemlerini yönetebilirsiniz.
Kullanıcı girdilerini işlerken, özellikle büyük sayı hesaplamalarını içeren durumlarda, sıkı bir sınır kontrolü ve istisna işleme yapılmalıdır.
Düzenli olarak kod denetimleri yapın, özellikle tamsayı taşma olasılığı olan kısımlara dikkat edin.
Acil durumlarda yanıt vermek için zaman kazanmak amacıyla çoklu imza veya zaman kilidi gibi mekanizmaların uygulanmasını düşünün.
![Poolz, hesap aşımı problemi nedeniyle saldırıya uğradı ve yaklaşık 665K dolar kaybetti!])https://img-cdn.gateio.im/webp-social/moments-207e83ef73f5ece4adee71f4f42674f3.webp(
Bu olay, akıllı sözleşme geliştirmede güvenliğin her zaman birincil bir öncelik olması gerektiğini bir kez daha hatırlatıyor. Görünüşte basit olan aritmetik işlemler bile, saldırganların kullanabileceği bir zafiyet haline gelebilir.
![Poolz, hesaplama taşması sorunu nedeniyle saldırıya uğradı, yaklaşık 665K dolar kaybetti!])https://img-cdn.gateio.im/webp-social/moments-915eae1e1853f3d04d16dbac2b8c504a.webp(
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
16 Likes
Reward
16
4
Share
Comment
0/400
zkProofInThePudding
· 07-31 01:15
Hem karanlık hem de zararda. Çok kötü değil mi?
View OriginalReply0
DaisyUnicorn
· 07-31 01:15
Açık kalp ameliyatı yapan küçük çiçeklerin büyük gösterisini izleyin~ Yine bir hesaplamanın iyi yapılmadığı bir honeypot taşmış durumda.
View OriginalReply0
CryptoPhoenix
· 07-31 01:14
Bir proje daha çöktü... Yeniden ayağa kalkmak inancı onarmak için zamana ihtiyaç duyacak [翻白眼] ama piyasa her zaman yeniden inşa edebilir!
Poolz, aritmetik taşma saldırısına uğradı, 665.000 dolar kayıp, çoklu zincir varlıkları etkilendi.
Poolz, aritmetik taşma saldırısına uğradı, yaklaşık 665.000 dolar kayıp yaşadı
Son günlerde, Poolz'a yönelik bir saldırı olayı Ethereum, Binance Akıllı Zinciri ve Polygon ağlarında meydana geldi. Zincir üzerindeki veri izlemeye göre, saldırı 15 Mart 2023 tarihinde saat 03:16'da (UTC zamanında gerçekleşti. Bu saldırı, MEE, ESNC, DON, ASW, KMON, POOLZ gibi çeşitli tokenleri kapsıyor ve toplam kayıp yaklaşık 665.000 Dolar.
![Poolz, hesaplama taşması problemi nedeniyle saldırıya uğradı, yaklaşık 665K dolar kaybetti!])https://img-cdn.gateio.im/webp-social/moments-974bc1b1f017458e935bb53bf55cef3e.webp(
Saldırganlar, Poolz akıllı sözleşmesindeki bir aritmetik taşma açığını kullandılar. Özellikle, sorun CreateMassPools fonksiyonundaki getArraySum fonksiyonundan kaynaklanıyor. Bu fonksiyon, kullanıcıların toplu olarak havuz oluştururken sağladığı başlangıç likiditesini hesaplarken büyük sayıların toplanmasından kaynaklanan taşma durumunu doğru bir şekilde ele alamadı.
Saldırı süreci aşağıdaki gibidir:
Saldırgan öncelikle bir merkeziyetsiz borsa içinde az miktarda MNZ token'ı değiştirdi.
Ardından CreateMassPools fonksiyonunu çağırarak özenle hazırlanmış parametreleri geçin. _StartAmount dizisi iki değer içerir: biri uint256 sınırına yakın büyük bir sayı ve diğeri normal bir token miktarı.
getArraySum fonksiyonundaki toplama işleminin taşmasına bağlı olarak, nihai dönen değer 1'dir. Ancak, sözleşme havuz özelliklerini kaydederken hala orijinal _StartAmount değerini kullanmıştır.
Bu, saldırganların aslında sadece 1 token transfer etmesine neden olurken, akılda büyük bir likidite miktarı kaydedildi.
Son olarak, saldırgan withdraw fonksiyonunu çağırarak tokenları çeker ve saldırıyı tamamlar.
![Poolz, matematik taşması nedeniyle saldırıya uğradı, yaklaşık 665K dolar kayıp! ])https://img-cdn.gateio.im/webp-social/moments-7726863222e36bd3db4e3408503ba81c.webp(
Bu tür sorunların tekrar yaşanmaması için geliştiricilerin aşağıdaki önlemleri alması önerilir:
Daha yeni bir Solidity derleyici sürümü kullanın, bu sürümler otomatik olarak taşma kontrolü yapar.
Eğer eski versiyon Solidity kullanmanız gerekiyorsa, OpenZeppelin'in SafeMath kütüphanesi gibi üçüncü parti güvenlik kütüphanelerini kullanarak tam sayı işlemlerini yönetebilirsiniz.
Kullanıcı girdilerini işlerken, özellikle büyük sayı hesaplamalarını içeren durumlarda, sıkı bir sınır kontrolü ve istisna işleme yapılmalıdır.
Düzenli olarak kod denetimleri yapın, özellikle tamsayı taşma olasılığı olan kısımlara dikkat edin.
Acil durumlarda yanıt vermek için zaman kazanmak amacıyla çoklu imza veya zaman kilidi gibi mekanizmaların uygulanmasını düşünün.
![Poolz, hesap aşımı problemi nedeniyle saldırıya uğradı ve yaklaşık 665K dolar kaybetti!])https://img-cdn.gateio.im/webp-social/moments-207e83ef73f5ece4adee71f4f42674f3.webp(
Bu olay, akıllı sözleşme geliştirmede güvenliğin her zaman birincil bir öncelik olması gerektiğini bir kez daha hatırlatıyor. Görünüşte basit olan aritmetik işlemler bile, saldırganların kullanabileceği bir zafiyet haline gelebilir.
![Poolz, hesaplama taşması sorunu nedeniyle saldırıya uğradı, yaklaşık 665K dolar kaybetti!])https://img-cdn.gateio.im/webp-social/moments-915eae1e1853f3d04d16dbac2b8c504a.webp(