Poolz, aritmetik taşma saldırısına uğradı, yaklaşık 665K dolar kaybetti
Son günlerde, çeşitli blok zinciri ağlarındaki Poolz projeleri, büyük miktarda tokenin çalınmasına yol açan bir siber saldırıya uğradı ve toplam değeri yaklaşık 665,000 dolar oldu. Saldırı, 15 Mart 2023'te gerçekleşti ve Ethereum, BNB Akıllı Zincir ve Polygon gibi çeşitli ağları kapsadı.
Saldırganlar, Poolz sözleşmesindeki aritmetik taşma açığını kullandı. CreateMassPools fonksiyonunu ustaca manipüle ederek, saldırganlar olağanüstü büyük başlangıç likiditesine sahip havuzlar oluşturabiliyor, ancak aslında sadece çok az miktarda token aktararak bunu gerçekleştirebiliyor. Bu tutarsızlık, saldırganların gerçekte yatırdıklarından çok daha fazla token çekmesine yol açtı.
Özellikle, saldırgan CreateMassPools fonksiyonunu çağırdığında, uint256 taşmasına yol açan bir dizi gönderdi. Gerçekte yatırılan token sayısı çok az olmasına rağmen, taşma nedeniyle sistem yanlışlıkla devasa bir başlangıç likidite değeri kaydetti. Daha sonra, saldırgan withdraw fonksiyonu aracılığıyla bu "sahte" likiditeyi çekti.
Bu olayın ortaya çıkardığı ana sorun, tam sayı taşmasıdır. Benzer güvenlik açıklarını önlemek için geliştiricilerin daha yeni Solidity derleyici sürümlerini kullanmayı düşünmeleri gerekir; bu sürümler otomatik olarak taşma kontrolü yapar. Daha eski Solidity sürümleri kullanan projeler için, tam sayı taşma riskini önlemek amacıyla OpenZeppelin'in SafeMath kütüphanesini kullanabilirler.
Bu saldırı, özellikle kullanıcı fonlarının kritik işlevleriyle ilgili olarak, akıllı sözleşme geliştirmede güvenlik denetimlerinin titizlikle yapılmasının önemini bir kez daha vurguladı. Aynı zamanda, proje sahipleri ve kullanıcıların her zaman dikkatli olmaları ve potansiyel güvenlik tehditlerini yakından izlemeleri gerektiğini hatırlatıyor.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
8 Likes
Reward
8
3
Share
Comment
0/400
WhaleWatcher
· 22h ago
Denetim sadece bir formalite mi?
View OriginalReply0
DAOplomacy
· 22h ago
tartışmasız başka bir alt-optimal güvenlik ilkesinin durumu
Poolz, aritmetik taşma saldırısına uğradı, çok zincirli kayıp 665K dolar.
Poolz, aritmetik taşma saldırısına uğradı, yaklaşık 665K dolar kaybetti
Son günlerde, çeşitli blok zinciri ağlarındaki Poolz projeleri, büyük miktarda tokenin çalınmasına yol açan bir siber saldırıya uğradı ve toplam değeri yaklaşık 665,000 dolar oldu. Saldırı, 15 Mart 2023'te gerçekleşti ve Ethereum, BNB Akıllı Zincir ve Polygon gibi çeşitli ağları kapsadı.
Saldırganlar, Poolz sözleşmesindeki aritmetik taşma açığını kullandı. CreateMassPools fonksiyonunu ustaca manipüle ederek, saldırganlar olağanüstü büyük başlangıç likiditesine sahip havuzlar oluşturabiliyor, ancak aslında sadece çok az miktarda token aktararak bunu gerçekleştirebiliyor. Bu tutarsızlık, saldırganların gerçekte yatırdıklarından çok daha fazla token çekmesine yol açtı.
Özellikle, saldırgan CreateMassPools fonksiyonunu çağırdığında, uint256 taşmasına yol açan bir dizi gönderdi. Gerçekte yatırılan token sayısı çok az olmasına rağmen, taşma nedeniyle sistem yanlışlıkla devasa bir başlangıç likidite değeri kaydetti. Daha sonra, saldırgan withdraw fonksiyonu aracılığıyla bu "sahte" likiditeyi çekti.
Bu olayın ortaya çıkardığı ana sorun, tam sayı taşmasıdır. Benzer güvenlik açıklarını önlemek için geliştiricilerin daha yeni Solidity derleyici sürümlerini kullanmayı düşünmeleri gerekir; bu sürümler otomatik olarak taşma kontrolü yapar. Daha eski Solidity sürümleri kullanan projeler için, tam sayı taşma riskini önlemek amacıyla OpenZeppelin'in SafeMath kütüphanesini kullanabilirler.
Bu saldırı, özellikle kullanıcı fonlarının kritik işlevleriyle ilgili olarak, akıllı sözleşme geliştirmede güvenlik denetimlerinin titizlikle yapılmasının önemini bir kez daha vurguladı. Aynı zamanda, proje sahipleri ve kullanıcıların her zaman dikkatli olmaları ve potansiyel güvenlik tehditlerini yakından izlemeleri gerektiğini hatırlatıyor.