Poolz, aritmetik taşma saldırısına uğradı, yaklaşık 665K$ kaybetti.
Son günlerde, Poolz platformuna yönelik bir saldırı olayı kripto para topluluğunun geniş dikkatini çekti. Saldırganlar, akıllı sözleşmedeki aritmetik taşma açığını kullanarak Ethereum, BNB Chain ve Polygon gibi birçok ağdan yaklaşık 66.5 milyon dolar değerinde kripto varlık çalmayı başardılar.
Zincir üzerindeki verilere göre, bu saldırı 15 Mart 2023 tarihinde gerçekleşti ve MEE, ESNC, DON, ASW, KMON, POOLZ gibi çeşitli tokenleri içeriyordu. Saldırganlar, Poolz platformundaki CreateMassPools fonksiyonundaki bir açığı ustaca kullanarak saldırıyı gerçekleştirdi.
Saldırının ana sorunu getArraySum fonksiyonunda yatıyor. Bu fonksiyon, kullanıcıların toplu olarak havuz oluştururken başlangıç likiditesini hesaplamak için kullanılması gerekiyordu, ancak tamsayı taşması nedeniyle saldırganların sadece çok az miktarda token yatırarak büyük miktarda sahte likiditeye sahip havuzlar oluşturmasına neden oldu. Ardından, saldırgan withdraw fonksiyonu aracılığıyla yanlış kaydedilen bu token miktarını çekti.
Teknik analiz, saldırganların önce bir merkeziyetsiz borsa üzerinden az miktarda MNZ tokeni değiştirdiklerini gösteriyor. Ardından, hatalı olan CreateMassPools fonksiyonunu çağırdılar ve dikkatlice hazırlanmış parametreler ile _StartAmount dizisinin toplamının uint256'nın maksimum değerini aşmasını sağladılar, bu da bir taşma meydana getirdi. Bu, sistemin saldırganın büyük miktarda likidite sağladığını düşünmesine yol açtı, oysa aslında sadece 1 token aktarılmıştı.
Bu tür sorunların tekrar yaşanmaması için sektör uzmanları, geliştiricilerin derleme sürecinde otomatik taşma kontrolü yapan daha yeni Solidity programlama dili sürümlerini kullanmalarını önermektedir. Eski Solidity sürümlerini kullanan projeler için ise, taşma riskini önlemek amacıyla OpenZeppelin'in SafeMath kütüphanesinin entegre edilmesi önerilmektedir.
Bu olay, akıllı sözleşmelerin güvenlik denetiminin önemini bir kez daha vurguladı. Merkeziyetsiz finans (DeFi) ekosisteminin sürekli gelişimi ile birlikte, projelerin kod güvenliğine daha fazla önem vermesi, düzenli olarak güvenlik kontrolleri yapması ve potansiyel açıkları zamanında düzeltmesi gerekmektedir; bu, kullanıcı varlıklarının güvenliğini korumak içindir.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Poolz, aritmetik taşma saldırısına uğradı, çoklu zincir kaybı 66.5 bin Dolar.
Poolz, aritmetik taşma saldırısına uğradı, yaklaşık 665K$ kaybetti.
Son günlerde, Poolz platformuna yönelik bir saldırı olayı kripto para topluluğunun geniş dikkatini çekti. Saldırganlar, akıllı sözleşmedeki aritmetik taşma açığını kullanarak Ethereum, BNB Chain ve Polygon gibi birçok ağdan yaklaşık 66.5 milyon dolar değerinde kripto varlık çalmayı başardılar.
Zincir üzerindeki verilere göre, bu saldırı 15 Mart 2023 tarihinde gerçekleşti ve MEE, ESNC, DON, ASW, KMON, POOLZ gibi çeşitli tokenleri içeriyordu. Saldırganlar, Poolz platformundaki CreateMassPools fonksiyonundaki bir açığı ustaca kullanarak saldırıyı gerçekleştirdi.
Saldırının ana sorunu getArraySum fonksiyonunda yatıyor. Bu fonksiyon, kullanıcıların toplu olarak havuz oluştururken başlangıç likiditesini hesaplamak için kullanılması gerekiyordu, ancak tamsayı taşması nedeniyle saldırganların sadece çok az miktarda token yatırarak büyük miktarda sahte likiditeye sahip havuzlar oluşturmasına neden oldu. Ardından, saldırgan withdraw fonksiyonu aracılığıyla yanlış kaydedilen bu token miktarını çekti.
Teknik analiz, saldırganların önce bir merkeziyetsiz borsa üzerinden az miktarda MNZ tokeni değiştirdiklerini gösteriyor. Ardından, hatalı olan CreateMassPools fonksiyonunu çağırdılar ve dikkatlice hazırlanmış parametreler ile _StartAmount dizisinin toplamının uint256'nın maksimum değerini aşmasını sağladılar, bu da bir taşma meydana getirdi. Bu, sistemin saldırganın büyük miktarda likidite sağladığını düşünmesine yol açtı, oysa aslında sadece 1 token aktarılmıştı.
Bu tür sorunların tekrar yaşanmaması için sektör uzmanları, geliştiricilerin derleme sürecinde otomatik taşma kontrolü yapan daha yeni Solidity programlama dili sürümlerini kullanmalarını önermektedir. Eski Solidity sürümlerini kullanan projeler için ise, taşma riskini önlemek amacıyla OpenZeppelin'in SafeMath kütüphanesinin entegre edilmesi önerilmektedir.
Bu olay, akıllı sözleşmelerin güvenlik denetiminin önemini bir kez daha vurguladı. Merkeziyetsiz finans (DeFi) ekosisteminin sürekli gelişimi ile birlikte, projelerin kod güvenliğine daha fazla önem vermesi, düzenli olarak güvenlik kontrolleri yapması ve potansiyel açıkları zamanında düzeltmesi gerekmektedir; bu, kullanıcı varlıklarının güvenliğini korumak içindir.