- Topic
75k Popularity
32k Popularity
9k Popularity
4k Popularity
4k Popularity
29k Popularity
16k Popularity
22k Popularity
13k Popularity
3k Popularity
- Pin
75k Popularity
32k Popularity
9k Popularity
4k Popularity
4k Popularity
29k Popularity
16k Popularity
22k Popularity
13k Popularity
3k Popularity
Poolz, aritmetik taşma saldırısına uğradı ve 665.000 $ kaybetti.
Poolz, yaklaşık 66.5 milyon dolar kayıpla hesap aşımı saldırısına uğradı.
Son günlerde, Ethereum, Binance ve Polygon ağlarındaki Poolz projeleri siber saldırıya uğradı ve büyük kayıplara neden oldu. Zincir üzerindeki verilere göre, saldırı 15 Mart 2023 tarihinde gerçekleşti ve çeşitli tokenleri kapsıyor, toplam değeri yaklaşık 66.5 bin dolar.
Saldırganlar, Poolz sözleşmesindeki aritmetik taşma açığını kullanarak bu saldırıyı gerçekleştirdiler. Ana sorun, kullanıcıların toplu olarak likidite havuzları oluşturmasına ve başlangıç likiditesi sağlamasına olanak tanıyan CreateMassPools fonksiyonunda ortaya çıktı. Saldırganlar, getArraySum fonksiyonunun taşma yapmasını sağlamak amacıyla özenle hazırlanmış girdi parametreleri kullanarak, yalnızca 1 token aktararak sistemde devasa bir değer kaydedilmesine neden oldular.
Saldırı süreci aşağıdaki gibidir:
Saldırgan, önce merkeziyetsiz borsa aracılığıyla bazı MNZ tokenlerini değiştirdi.
Ardından CreateMassPools fonksiyonu çağrılır ve içindeki getArraySum fonksiyonu açığı kullanılır. Bu fonksiyon, kullanıcı tarafından girilen _StartAmount dizisini toplarken, taşma nedeniyle 1 döndürür, oysa kaydedilen gerçek değer bu sayıdan çok daha büyüktür.
Son olarak, saldırgan withdraw fonksiyonunu çağırarak fonları çekti ve tüm saldırı sürecini tamamladı.
Bu olay, akıllı sözleşmelerdeki aritmetik taşma sorunlarının ciddiyetini bir kez daha vurguladı. Benzer sorunların önlenmesi için geliştiricilerin, derleme sürecinde otomatik taşma kontrolleri yapan daha yeni Solidity derleyici sürümlerini kullanmayı düşünmeleri gerekir. Daha eski Solidity sürümlerini kullanan projeler için ise tamsayı taşma sorunlarını çözmek amacıyla üçüncü taraf güvenlik kütüphaneleri kullanılabilir.
Bu saldırı, büyük hesaplamalar içeren akıllı sözleşmelerle çalışırken son derece dikkatli olmamız gerektiğini, tüm olası sınır durumlarının düzgün bir şekilde ele alındığından emin olmamız gerektiğini hatırlatıyor. Aynı zamanda, düzenli güvenlik denetimleri ve hata avı programları, projelerin güvenliğini sağlamak için etkili önlemlerdir.