تعرض بروتوكول Poolz لهجوم تجاوز حسابي، خسارة تقدر بحوالي 66.5 ألف دولار أمريكي
في الآونة الأخيرة، أثارت حادثة هجوم على بروتوكول Poolz اهتمام الصناعة. وفقًا لبيانات على السلسلة، حدث الهجوم في 15 مارس 2023، وشمل عدة شبكات مثل Ethereum و BNB Chain و Polygon. استخدم المهاجمون ثغرة الفائض الحسابي في العقد الذكي، وسرقوا بنجاح كمية كبيرة من الرموز، بقيمة إجمالية تقارب 66.5 ألف دولار.
استهدف المهاجمون بشكل رئيسي وظيفة CreateMassPools لبروتوكول Poolz. كانت هذه الوظيفة مصممة للسماح للمستخدمين بإنشاء تجمعات سيولة بكميات كبيرة وتقديم سيولة أولية. ومع ذلك، بسبب وجود مشكلة في تدفق الأرقام في وظيفة getArraySum، تمكن المهاجمون من استغلال هذه الثغرة.
بشكل أكثر تحديدًا، يتمكن المهاجمون من تمرير مصفوفة _StartAmount معينة، مما يجعل النتيجة المتراكمة تتجاوز القيمة القصوى لـ uint256، مما يؤدي إلى تجاوز القيمة وإرجاع النتيجة 1. وهذا يسمح للمهاجمين بتحويل رمز واحد فقط، بحيث يتم تسجيل إيداع كبير يتجاوز الكمية الفعلية في النظام. بعد ذلك، يمكن للمهاجمين سحب هذه الرموز غير الموجودة من خلال دالة withdraw.
تتعلق هذه الحادثة بعدة رموز، بما في ذلك MEE وESNC وDON وASW وKMON وPOOLZ وغيرها. لقد قام المهاجمون بتحويل بعض رموز الأرباح إلى BNB، ولكن حتى وقت إعداد التقرير، لم يتم نقل هذه الأموال من عنوان المهاجمين.
لتجنب حدوث مشكلات مشابهة مرة أخرى، يوصي الخبراء في الصناعة المطورين باتخاذ التدابير التالية:
استخدم إصدارات أحدث من مترجم Solidity، حيث ستقوم هذه الإصدارات بإجراء فحص الفائض تلقائيًا أثناء عملية الترجمة.
بالنسبة للمشاريع التي تستخدم إصدارات أقل من Solidity، يمكن النظر في إدخال مكتبة SafeMath من OpenZeppelin لحل مشكلة تجاوز الأعداد الصحيحة.
تعزيز تدقيق الشيفرة، مع التركيز بشكل خاص على الوظائف والعمليات التي قد تؤدي إلى تجاوز الحساب.
إجراء تقييمات أمان وفحوصات ثغرات بشكل دوري وإصلاح المشكلات المكتشفة في الوقت المناسب.
تذكر هذه الحادثة مرة أخرى مطوري مشاريع blockchain والمستخدمين أن الأمان هو دائمًا الاعتبار الرئيسي في النظام البيئي للعملات المشفرة المتطورة بسرعة. يجب على المستثمرين أيضًا أن يظلوا يقظين دائمًا ويهتموا بأمان المشروع وقوته التقنية.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 8
أعجبني
8
2
مشاركة
تعليق
0/400
MetaNomad
· منذ 12 س
هناك الكثير من الثغرات ، ولم نعد قادرين على مراجعتها.
تعرض بروتوكول Poolz لهجوم تجاوز العددي مما أدى إلى خسارة 66.5 ألف دولار أمريكي
تعرض بروتوكول Poolz لهجوم تجاوز حسابي، خسارة تقدر بحوالي 66.5 ألف دولار أمريكي
في الآونة الأخيرة، أثارت حادثة هجوم على بروتوكول Poolz اهتمام الصناعة. وفقًا لبيانات على السلسلة، حدث الهجوم في 15 مارس 2023، وشمل عدة شبكات مثل Ethereum و BNB Chain و Polygon. استخدم المهاجمون ثغرة الفائض الحسابي في العقد الذكي، وسرقوا بنجاح كمية كبيرة من الرموز، بقيمة إجمالية تقارب 66.5 ألف دولار.
استهدف المهاجمون بشكل رئيسي وظيفة CreateMassPools لبروتوكول Poolz. كانت هذه الوظيفة مصممة للسماح للمستخدمين بإنشاء تجمعات سيولة بكميات كبيرة وتقديم سيولة أولية. ومع ذلك، بسبب وجود مشكلة في تدفق الأرقام في وظيفة getArraySum، تمكن المهاجمون من استغلال هذه الثغرة.
بشكل أكثر تحديدًا، يتمكن المهاجمون من تمرير مصفوفة _StartAmount معينة، مما يجعل النتيجة المتراكمة تتجاوز القيمة القصوى لـ uint256، مما يؤدي إلى تجاوز القيمة وإرجاع النتيجة 1. وهذا يسمح للمهاجمين بتحويل رمز واحد فقط، بحيث يتم تسجيل إيداع كبير يتجاوز الكمية الفعلية في النظام. بعد ذلك، يمكن للمهاجمين سحب هذه الرموز غير الموجودة من خلال دالة withdraw.
تتعلق هذه الحادثة بعدة رموز، بما في ذلك MEE وESNC وDON وASW وKMON وPOOLZ وغيرها. لقد قام المهاجمون بتحويل بعض رموز الأرباح إلى BNB، ولكن حتى وقت إعداد التقرير، لم يتم نقل هذه الأموال من عنوان المهاجمين.
لتجنب حدوث مشكلات مشابهة مرة أخرى، يوصي الخبراء في الصناعة المطورين باتخاذ التدابير التالية:
استخدم إصدارات أحدث من مترجم Solidity، حيث ستقوم هذه الإصدارات بإجراء فحص الفائض تلقائيًا أثناء عملية الترجمة.
بالنسبة للمشاريع التي تستخدم إصدارات أقل من Solidity، يمكن النظر في إدخال مكتبة SafeMath من OpenZeppelin لحل مشكلة تجاوز الأعداد الصحيحة.
تعزيز تدقيق الشيفرة، مع التركيز بشكل خاص على الوظائف والعمليات التي قد تؤدي إلى تجاوز الحساب.
إجراء تقييمات أمان وفحوصات ثغرات بشكل دوري وإصلاح المشكلات المكتشفة في الوقت المناسب.
تذكر هذه الحادثة مرة أخرى مطوري مشاريع blockchain والمستخدمين أن الأمان هو دائمًا الاعتبار الرئيسي في النظام البيئي للعملات المشفرة المتطورة بسرعة. يجب على المستثمرين أيضًا أن يظلوا يقظين دائمًا ويهتموا بأمان المشروع وقوته التقنية.