Poolz platformu saldırıya uğradı, yaklaşık 66.5 bin dolar kayıp
15 Mart'ta sabaha karşı, Ethereum, Binance Akıllı Zinciri ve Polygon ağındaki Poolz platformu siber saldırıya uğradı. Veri platformu izlemelerine göre, bu saldırı sonucunda MEE, ESNC, DON, ASW, KMON, POOLZ gibi çeşitli tokenlar çalındı ve toplam değeri yaklaşık 665.000 dolar.
Saldırganlar, Poolz platformundaki akıllı sözleşmede bir aritmetik taşma açığını kullandılar. Özellikle, sorun CreateMassPools fonksiyonundaki getArraySum fonksiyonundadır. Bu fonksiyon, kullanıcıların toplu havuz oluşturmada başlangıç likiditesini hesaplarken büyük sayıların toplanması nedeniyle oluşabilecek taşma durumunu doğru bir şekilde ele almamıştır.
Saldırı süreci aşağıdaki gibidir:
Saldırgan öncelikle bir merkeziyetsiz borsa üzerinden bazı MNZ token'larını değiştirdi.
Ardından, getArraySum fonksiyonunun döndürdüğü değerin taşmasını sağlamak için özenle oluşturulmuş parametreler ile CreateMassPools fonksiyonu çağrıldı. Bu, sistemin kaydettiği likidite miktarının gerçekte yatırılan token miktarından çok daha fazla olmasına neden oldu.
Son olarak, saldırgan withdraw fonksiyonu aracılığıyla gerçek yatırdığı miktardan çok daha fazla token çekti ve saldırıyı tamamladı.
Bu olay, akıllı sözleşme geliştirmede tam sayı işlemlerinin doğru bir şekilde ele alınmasının önemini bir kez daha vurguladı. Benzer sorunların önlenmesi için, geliştiricilerin, yerleşik taşma kontrol mekanizmasına sahip daha yeni bir Solidity derleyicisi kullanmayı düşünmeleri gerekmektedir. Daha eski versiyon Solidity kullanan projeler için ise, tam sayı taşma risklerini önlemek amacıyla üçüncü taraf güvenlik kütüphaneleri kullanılabilir.
Şu anda, çalınan fonlar henüz tamamen aktarılmamış olup, bir kısmı BNB'ye dönüştürülmüştür. İlgili taraflar daha fazla araştırma ve izleme yapmaktadır. Bu olay, DeFi projelerinin akıllı sözleşmelerin güvenliğine daha fazla önem vermesi, düzenli olarak kod denetimi yapması ve kullanıcı varlıklarını korumak için gerekli güvenlik önlemlerini alması gerektiğini hatırlatmaktadır.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
13 Likes
Reward
13
6
Share
Comment
0/400
BTCBeliefStation
· 11h ago
Sözleşme denetlendi mi, o zaman çevrimiçi.
View OriginalReply0
CryptoMotivator
· 11h ago
Bu sözleşme denetimi tasarruf ettirebilir mi?
View OriginalReply0
zkProofInThePudding
· 11h ago
Biraz kötü durumda.
View OriginalReply0
MEVVictimAlliance
· 11h ago
Yine mi pirinç çekildi? Şımarık
View OriginalReply0
BearMarketMonk
· 11h ago
enayiler bir kez daha bir yıkım dalgasıyla karşılaşıyor. Piyasa döngüsü bu kadar basit.
Poolz platformu Hacker saldırısına uğradı, 66.5 bin dolar değerinde Token çalındı
Poolz platformu saldırıya uğradı, yaklaşık 66.5 bin dolar kayıp
15 Mart'ta sabaha karşı, Ethereum, Binance Akıllı Zinciri ve Polygon ağındaki Poolz platformu siber saldırıya uğradı. Veri platformu izlemelerine göre, bu saldırı sonucunda MEE, ESNC, DON, ASW, KMON, POOLZ gibi çeşitli tokenlar çalındı ve toplam değeri yaklaşık 665.000 dolar.
Saldırganlar, Poolz platformundaki akıllı sözleşmede bir aritmetik taşma açığını kullandılar. Özellikle, sorun CreateMassPools fonksiyonundaki getArraySum fonksiyonundadır. Bu fonksiyon, kullanıcıların toplu havuz oluşturmada başlangıç likiditesini hesaplarken büyük sayıların toplanması nedeniyle oluşabilecek taşma durumunu doğru bir şekilde ele almamıştır.
Saldırı süreci aşağıdaki gibidir:
Saldırgan öncelikle bir merkeziyetsiz borsa üzerinden bazı MNZ token'larını değiştirdi.
Ardından, getArraySum fonksiyonunun döndürdüğü değerin taşmasını sağlamak için özenle oluşturulmuş parametreler ile CreateMassPools fonksiyonu çağrıldı. Bu, sistemin kaydettiği likidite miktarının gerçekte yatırılan token miktarından çok daha fazla olmasına neden oldu.
Son olarak, saldırgan withdraw fonksiyonu aracılığıyla gerçek yatırdığı miktardan çok daha fazla token çekti ve saldırıyı tamamladı.
Bu olay, akıllı sözleşme geliştirmede tam sayı işlemlerinin doğru bir şekilde ele alınmasının önemini bir kez daha vurguladı. Benzer sorunların önlenmesi için, geliştiricilerin, yerleşik taşma kontrol mekanizmasına sahip daha yeni bir Solidity derleyicisi kullanmayı düşünmeleri gerekmektedir. Daha eski versiyon Solidity kullanan projeler için ise, tam sayı taşma risklerini önlemek amacıyla üçüncü taraf güvenlik kütüphaneleri kullanılabilir.
Şu anda, çalınan fonlar henüz tamamen aktarılmamış olup, bir kısmı BNB'ye dönüştürülmüştür. İlgili taraflar daha fazla araştırma ve izleme yapmaktadır. Bu olay, DeFi projelerinin akıllı sözleşmelerin güvenliğine daha fazla önem vermesi, düzenli olarak kod denetimi yapması ve kullanıcı varlıklarını korumak için gerekli güvenlik önlemlerini alması gerektiğini hatırlatmaktadır.