Poolz projesi saldırıya uğradı, yaklaşık 66.5 bin dolar kaybedildi
Son günlerde, birden fazla blockchain'i kapsayan bir güvenlik olayı sektörde dikkat çekti. Zincir üzerindeki izleme verilerine göre, 15 Mart sabahı, Ethereum, Binance ve Polygon ağlarındaki Poolz projesi saldırıya uğradı ve büyük miktarda token kaybına yol açtı, toplam değer yaklaşık 66.5 bin dolar.
Saldırganlar, akıllı sözleşmedeki aritmetik taşma açığını kullanarak MEE, ESNC, DON, ASW, KMON, POOLZ gibi projeden çeşitli tokenleri başarıyla çıkardılar. Şu anda, çalınan tokenlerin bir kısmı BNB'ye dönüştürüldü, ancak fonlar henüz transfer edilmedi.
Bu saldırı esas olarak Poolz projesinin CreateMassPools fonksiyonunu hedef aldı. Bu fonksiyon, likidite havuzlarını topluca oluşturmak ve başlangıç likiditesi sağlamak için tasarlanmıştı. Ancak, getArraySum fonksiyonunda bir tam sayı taşma sorunu olduğu için saldırganlar bu açığı kullanabildi. Saldırganlar belirli parametreler girerek, toplama sonucunun uint256 aralığını aşmasını sağladı ve fonksiyonun döndürdüğü değer 1 oldu. Bu, saldırganların yalnızca 1 token transfer ederek sistemde gerçek miktardan çok daha büyük bir likidite kaydettirmesine olanak tanıdı.
Ardından, saldırgan withdraw fonksiyonunu çağırarak tokenleri çekti ve tüm saldırı sürecini tamamladı.
Benzer olayların tekrar yaşanmaması için, sektör uzmanları geliştiricilerin derleme işlemi için daha yeni bir Solidity sürümü kullanmalarını önermektedir; bu sürümler, otomatik olarak taşma kontrolleri yapmaktadır. Daha düşük sürüm Solidity kullanan projeler için, tamsayı taşma sorununu çözmek amacıyla OpenZeppelin'in SafeMath kütüphanesinin entegre edilmesi düşünülebilir.
Bu olay, akıllı sözleşme geliştirmede güvenliğin son derece önemli olduğunu bir kez daha hatırlatıyor. Geliştiricilerin potansiyel aritmetik taşma risklerine özellikle dikkat etmeleri ve gerekli önlemleri almaları gerekiyor. Ayrıca, düzenli güvenlik denetimleri de projenin güvenliğini sağlamak için önemli bir yöntemdir.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Poolz projesi saldırıya uğradı, çok zincirli kayıplar 66.5 bin dolar.
Poolz projesi saldırıya uğradı, yaklaşık 66.5 bin dolar kaybedildi
Son günlerde, birden fazla blockchain'i kapsayan bir güvenlik olayı sektörde dikkat çekti. Zincir üzerindeki izleme verilerine göre, 15 Mart sabahı, Ethereum, Binance ve Polygon ağlarındaki Poolz projesi saldırıya uğradı ve büyük miktarda token kaybına yol açtı, toplam değer yaklaşık 66.5 bin dolar.
Saldırganlar, akıllı sözleşmedeki aritmetik taşma açığını kullanarak MEE, ESNC, DON, ASW, KMON, POOLZ gibi projeden çeşitli tokenleri başarıyla çıkardılar. Şu anda, çalınan tokenlerin bir kısmı BNB'ye dönüştürüldü, ancak fonlar henüz transfer edilmedi.
Bu saldırı esas olarak Poolz projesinin CreateMassPools fonksiyonunu hedef aldı. Bu fonksiyon, likidite havuzlarını topluca oluşturmak ve başlangıç likiditesi sağlamak için tasarlanmıştı. Ancak, getArraySum fonksiyonunda bir tam sayı taşma sorunu olduğu için saldırganlar bu açığı kullanabildi. Saldırganlar belirli parametreler girerek, toplama sonucunun uint256 aralığını aşmasını sağladı ve fonksiyonun döndürdüğü değer 1 oldu. Bu, saldırganların yalnızca 1 token transfer ederek sistemde gerçek miktardan çok daha büyük bir likidite kaydettirmesine olanak tanıdı.
Ardından, saldırgan withdraw fonksiyonunu çağırarak tokenleri çekti ve tüm saldırı sürecini tamamladı.
Benzer olayların tekrar yaşanmaması için, sektör uzmanları geliştiricilerin derleme işlemi için daha yeni bir Solidity sürümü kullanmalarını önermektedir; bu sürümler, otomatik olarak taşma kontrolleri yapmaktadır. Daha düşük sürüm Solidity kullanan projeler için, tamsayı taşma sorununu çözmek amacıyla OpenZeppelin'in SafeMath kütüphanesinin entegre edilmesi düşünülebilir.
Bu olay, akıllı sözleşme geliştirmede güvenliğin son derece önemli olduğunu bir kez daha hatırlatıyor. Geliştiricilerin potansiyel aritmetik taşma risklerine özellikle dikkat etmeleri ve gerekli önlemleri almaları gerekiyor. Ayrıca, düzenli güvenlik denetimleri de projenin güvenliğini sağlamak için önemli bir yöntemdir.