تعرضت منصة Poolz لهجوم، مما أدى إلى خسائر تقارب 66.5 ألف دولار أمريكي
في 15 مارس في الساعات الأولى من الصباح، تعرضت منصة Poolz على شبكة Ethereum و Binance Smart Chain و Polygon لهجوم من قراصنة. ووفقًا لمراقبة منصة البيانات، أدى هذا الهجوم إلى سرقة عدة رموز، بما في ذلك MEE و ESNC و DON و ASW و KMON و POOLZ، بقيمة إجمالية تبلغ حوالي 665,000 دولار.
استغل المهاجمون ثغرة تدفق حسابي في عقد منصة Poolz الذكي. وبالتحديد، كانت المشكلة في دالة getArraySum ضمن دالة CreateMassPools. لم تعالج هذه الدالة بشكل صحيح حالات التدفق التي قد تنشأ عند جمع الأعداد الكبيرة أثناء حساب السيولة الأولية للمستخدم عند إنشاء المسابح بشكل جماعي.
عملية الهجوم كما يلي:
قام المهاجم أولاً بتبادل بعض رموز MNZ في منصة مركزية معينة.
بعد ذلك، تم استدعاء دالة CreateMassPools، مع تمرير معلمات مصممة بعناية، مما أدى إلى تجاوز قيمة إرجاع دالة getArraySum. وهذا أدى إلى تسجيل النظام لعدد السيولة أكبر بكثير من عدد الرموز الفعلي المدخل.
أخيرًا، قام المهاجم بسحب رموز تفوق بكثير الكمية التي أودعها فعليًا من خلال وظيفة withdraw، مما أكمل الهجوم.
تسلط هذه الحادثة الضوء مرة أخرى على أهمية التعامل الصحيح مع العمليات العددية في تطوير العقود الذكية. لمنع حدوث مشكلات مشابهة، ينبغي على المطورين النظر في استخدام إصدارات أحدث من مجمع Solidity، التي تحتوي على آلية للتحقق من الفيض. بالنسبة للمشاريع التي تستخدم إصدارات قديمة من Solidity، يمكن استخدام مكتبات أمان طرف ثالث للوقاية من مخاطر الفيض العددي.
حتى الآن، لم يتم نقل الأموال المسروقة بالكامل، وقد تم تحويل جزء منها إلى BNB. الأطراف المعنية تقوم بإجراء المزيد من التحقيقات والتعقب. تذكر هذه الحادثة مشاريع DeFi بضرورة إيلاء المزيد من الاهتمام لأمان العقود الذكية، وإجراء تدقيق دوري للكود، واتخاذ التدابير الأمنية اللازمة لحماية أصول المستخدمين.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 13
أعجبني
13
6
مشاركة
تعليق
0/400
BTCBeliefStation
· منذ 11 س
هل تمت مراجعة العقد قبل الإطلاق؟
شاهد النسخة الأصليةرد0
CryptoMotivator
· منذ 11 س
هل يمكن توفير تدقيق العقد هذا؟
شاهد النسخة الأصليةرد0
zkProofInThePudding
· منذ 11 س
إنه نوع من المأساة
شاهد النسخة الأصليةرد0
MEVVictimAlliance
· منذ 11 س
هل تم سحب الأرز مرة أخرى؟ شو إير
شاهد النسخة الأصليةرد0
BearMarketMonk
· منذ 11 س
حمقى مرة أخرى يرحبون بموجة جديدة من التطهير. دورة السوق ليست أكثر من ذلك.
تعرضت منصة Poolz لهجوم هاكر وسُرقت عملة بقيمة 66.5 ألف دولار
تعرضت منصة Poolz لهجوم، مما أدى إلى خسائر تقارب 66.5 ألف دولار أمريكي
في 15 مارس في الساعات الأولى من الصباح، تعرضت منصة Poolz على شبكة Ethereum و Binance Smart Chain و Polygon لهجوم من قراصنة. ووفقًا لمراقبة منصة البيانات، أدى هذا الهجوم إلى سرقة عدة رموز، بما في ذلك MEE و ESNC و DON و ASW و KMON و POOLZ، بقيمة إجمالية تبلغ حوالي 665,000 دولار.
استغل المهاجمون ثغرة تدفق حسابي في عقد منصة Poolz الذكي. وبالتحديد، كانت المشكلة في دالة getArraySum ضمن دالة CreateMassPools. لم تعالج هذه الدالة بشكل صحيح حالات التدفق التي قد تنشأ عند جمع الأعداد الكبيرة أثناء حساب السيولة الأولية للمستخدم عند إنشاء المسابح بشكل جماعي.
عملية الهجوم كما يلي:
قام المهاجم أولاً بتبادل بعض رموز MNZ في منصة مركزية معينة.
بعد ذلك، تم استدعاء دالة CreateMassPools، مع تمرير معلمات مصممة بعناية، مما أدى إلى تجاوز قيمة إرجاع دالة getArraySum. وهذا أدى إلى تسجيل النظام لعدد السيولة أكبر بكثير من عدد الرموز الفعلي المدخل.
أخيرًا، قام المهاجم بسحب رموز تفوق بكثير الكمية التي أودعها فعليًا من خلال وظيفة withdraw، مما أكمل الهجوم.
تسلط هذه الحادثة الضوء مرة أخرى على أهمية التعامل الصحيح مع العمليات العددية في تطوير العقود الذكية. لمنع حدوث مشكلات مشابهة، ينبغي على المطورين النظر في استخدام إصدارات أحدث من مجمع Solidity، التي تحتوي على آلية للتحقق من الفيض. بالنسبة للمشاريع التي تستخدم إصدارات قديمة من Solidity، يمكن استخدام مكتبات أمان طرف ثالث للوقاية من مخاطر الفيض العددي.
حتى الآن، لم يتم نقل الأموال المسروقة بالكامل، وقد تم تحويل جزء منها إلى BNB. الأطراف المعنية تقوم بإجراء المزيد من التحقيقات والتعقب. تذكر هذه الحادثة مشاريع DeFi بضرورة إيلاء المزيد من الاهتمام لأمان العقود الذكية، وإجراء تدقيق دوري للكود، واتخاذ التدابير الأمنية اللازمة لحماية أصول المستخدمين.