Poolz protokolü aritmetik taşma saldırısına maruz kaldı, yaklaşık 66.5 milyon dolar zarar.
Son günlerde, Poolz protokolüne yönelik bir saldırı olayı sektörde dikkat çekti. Zincir üzerindeki verilere göre, saldırı 15 Mart 2023'te gerçekleşti ve Ethereum, BNB Chain ve Polygon gibi birçok ağı kapsıyordu. Saldırgan, akıllı sözleşmedeki aritmetik taşma açığını kullanarak büyük miktarda token çalmayı başardı, toplam değer yaklaşık 66.5 milyon dolar.
Saldırganlar esas olarak Poolz protokolünün CreateMassPools fonksiyonunu hedef aldı. Bu fonksiyon, kullanıcıların toplu likidite havuzları oluşturmasına ve başlangıç likiditesi sağlamasına izin vermek için tasarlanmıştı. Ancak, getArraySum fonksiyonundaki aritmetik taşma problemi nedeniyle, saldırgan bu açığı kullanma fırsatı buldu.
Özellikle, saldırganlar belirli bir _StartAmount dizisini geçirerek, toplam sonuç uint256'nın maksimum değerini aşacak şekilde ayarlamaktadır. Bu durum, taşma sonrası dönen değerin 1 olmasına neden olur. Bu, saldırganın yalnızca 1 token göndermesiyle, sistemde gerçek miktarın çok üzerinde büyük bir depozitoyu kaydetmesine olanak tanır. Ardından, saldırgan withdraw fonksiyonu aracılığıyla bu mevcut olmayan tokenleri çekebilir.
Bu olay, MEE, ESNC, DON, ASW, KMON, POOLZ gibi birçok tokeni içermektedir. Saldırgan, kazandığı bazı tokenleri BNB'ye çevirmiştir, ancak rapor zamanı itibarıyla bu fonlar hala saldırganın adresinden transfer edilmemiştir.
Benzer sorunların bir daha yaşanmaması için sektör uzmanları geliştiricilerin aşağıdaki önlemleri almasını öneriyor:
Daha yeni bir Solidity derleyici sürümü kullanın, bu sürümler derleme sırasında otomatik olarak taşma kontrolü gerçekleştirir.
Daha düşük sürüm Solidity kullanan projeler için, tam sayı taşmasını çözmek amacıyla OpenZeppelin'in SafeMath kütüphanesinin entegrasyonunu düşünebilirsiniz.
Kod denetimini güçlendirin, özellikle aritmetik taşmalara yol açabilecek fonksiyonlar ve işlemlere dikkat edin.
Güvenlik değerlendirmeleri ve zayıf nokta taramaları düzenli olarak yapılmalı, tespit edilen sorunlar zamanında giderilmelidir.
Bu olay, blok zinciri proje geliştiricilerini ve kullanıcılarını, hızla gelişen kripto para ekosisteminde güvenliğin her zaman öncelikli bir düşünce olması gerektiğini bir kez daha hatırlatıyor. Yatırımcılar için de, projelerin güvenliğine ve teknolojik yeteneklerine dikkat ederek her zaman tetikte olmaları gerekiyor.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
7 Likes
Reward
7
2
Share
Comment
0/400
MetaNomad
· 7h ago
Birçok güvenlik açığı var, denetim yapacak zaman kalmadı.
View OriginalReply0
GasWaster
· 7h ago
66 bin de olsa çıkmaya utanıyor musun? Acemi hacker
Poolz protokolü aritmetik taşma saldırısına uğradı, 66.5 milyon dolar kayıp.
Poolz protokolü aritmetik taşma saldırısına maruz kaldı, yaklaşık 66.5 milyon dolar zarar.
Son günlerde, Poolz protokolüne yönelik bir saldırı olayı sektörde dikkat çekti. Zincir üzerindeki verilere göre, saldırı 15 Mart 2023'te gerçekleşti ve Ethereum, BNB Chain ve Polygon gibi birçok ağı kapsıyordu. Saldırgan, akıllı sözleşmedeki aritmetik taşma açığını kullanarak büyük miktarda token çalmayı başardı, toplam değer yaklaşık 66.5 milyon dolar.
Saldırganlar esas olarak Poolz protokolünün CreateMassPools fonksiyonunu hedef aldı. Bu fonksiyon, kullanıcıların toplu likidite havuzları oluşturmasına ve başlangıç likiditesi sağlamasına izin vermek için tasarlanmıştı. Ancak, getArraySum fonksiyonundaki aritmetik taşma problemi nedeniyle, saldırgan bu açığı kullanma fırsatı buldu.
Özellikle, saldırganlar belirli bir _StartAmount dizisini geçirerek, toplam sonuç uint256'nın maksimum değerini aşacak şekilde ayarlamaktadır. Bu durum, taşma sonrası dönen değerin 1 olmasına neden olur. Bu, saldırganın yalnızca 1 token göndermesiyle, sistemde gerçek miktarın çok üzerinde büyük bir depozitoyu kaydetmesine olanak tanır. Ardından, saldırgan withdraw fonksiyonu aracılığıyla bu mevcut olmayan tokenleri çekebilir.
Bu olay, MEE, ESNC, DON, ASW, KMON, POOLZ gibi birçok tokeni içermektedir. Saldırgan, kazandığı bazı tokenleri BNB'ye çevirmiştir, ancak rapor zamanı itibarıyla bu fonlar hala saldırganın adresinden transfer edilmemiştir.
Benzer sorunların bir daha yaşanmaması için sektör uzmanları geliştiricilerin aşağıdaki önlemleri almasını öneriyor:
Daha yeni bir Solidity derleyici sürümü kullanın, bu sürümler derleme sırasında otomatik olarak taşma kontrolü gerçekleştirir.
Daha düşük sürüm Solidity kullanan projeler için, tam sayı taşmasını çözmek amacıyla OpenZeppelin'in SafeMath kütüphanesinin entegrasyonunu düşünebilirsiniz.
Kod denetimini güçlendirin, özellikle aritmetik taşmalara yol açabilecek fonksiyonlar ve işlemlere dikkat edin.
Güvenlik değerlendirmeleri ve zayıf nokta taramaları düzenli olarak yapılmalı, tespit edilen sorunlar zamanında giderilmelidir.
Bu olay, blok zinciri proje geliştiricilerini ve kullanıcılarını, hızla gelişen kripto para ekosisteminde güvenliğin her zaman öncelikli bir düşünce olması gerektiğini bir kez daha hatırlatıyor. Yatırımcılar için de, projelerin güvenliğine ve teknolojik yeteneklerine dikkat ederek her zaman tetikte olmaları gerekiyor.