Poolz bir güvenlik olayıyla karşılaştı, yaklaşık 665.000 dolar değerinde varlık etkilendi

Son zamanlarda, birçok blockchain ağı üzerindeki Poolz projeleri güvenlik olaylarıyla karşılaştı ve bu durum büyük miktarda token'in yasa dışı bir şekilde çekilmesine neden oldu. Olay, Dünya Koordinat Zamanı'na göre 15 Mart 2023'te sabah 3:16 civarında meydana geldi ve Ethereum, BNB Akıllı Zincir ve Polygon gibi birçok ağı etkiledi.

Zincir üzerindeki verilere göre, bu olay çeşitli token'ları kapsamaktadır, bunlar arasında MEE, ESNC, DON, ASW, KMON, POOLZ bulunmaktadır. Çekilen token'ların toplam değeri yaklaşık 665,000 ABD Dolarıdır. Şu anda, çekilen bazı token'lar BNB'ye dönüştürülmüştür, ancak henüz başka bir adrese transfer edilmemiştir.

Analizler, bu olayın temel nedeninin akıllı sözleşmedeki aritmetik taşma açığı olduğunu gösteriyor. Saldırganlar, CreateMassPools fonksiyonundaki açığı ustaca kullanarak düşük maliyetle çok miktarda para çekme işlemi gerçekleştirdiler. Özellikle, saldırganlar likidite havuzu oluştururken getArraySum fonksiyonundaki tam sayı taşma sorununu kullanarak, sistemin kaydedilen yatırma miktarının gerçek yatırma miktarından çok daha fazla olmasını sağladılar.

Olay süreci kabaca şöyledir:

1. Saldırgan öncelikle merkeziyetsiz borsadan az miktarda MNZ tokeni değiştirdi.

2. Ardından, kullanıcıların likidite havuzlarını topluca oluşturmalarına ve başlangıç likiditesini sağlamalarına olanak tanıyan CreateMassPools fonksiyonu çağrıldı.

3. Havuz oluşturulurken, saldırgan girdi parametrelerini ustalıkla yapılandırdı, bu da getArraySum fonksiyonunun döndürdüğü değerin taşma nedeniyle çok küçük olmasına neden oldu, ancak gerçek kaydedilen yatırılan miktar çok büyük bir değerdir.

4. Son olarak, saldırgan withdraw fonksiyonu aracılığıyla gerçek yatırılan miktardan çok daha fazla token çekti.

Benzer olayların tekrar yaşanmaması için, sektör uzmanları geliştiricilerin aşağıdaki önlemleri almasını öneriyor:

1. Daha yeni bir Solidity programlama dili sürümü kullanın; bu sürümlerde taşma kontrol mekanizması yerleşiktir.

2. Eski versiyon Solidity kullanan projeler için, taşma sorunlarından kaçınmak amacıyla tamsayı işlemlerini yönetmek için OpenZeppelin'in SafeMath kütüphanesini kullanmayı düşünebilirsiniz.

3. Kod denetimini güçlendirin, özellikle aritmetik taşmalara neden olabilecek bölümlere dikkat edin.

4. Anahtar işlemlere koruma katmanı eklemek için çoklu imza gibi ek güvenlik mekanizmalarının uygulanmasını düşünün.

Bu olay, blockchain proje geliştiricilerine ve kullanıcılara, hızla gelişen kripto para ekosisteminde güvenliğin her zaman birincil öncelik olduğunu bir kez daha hatırlatıyor. Proje sahipleri güvenlik önlemlerini sürekli olarak geliştirmeli ve kullanıcılar da dikkatli olmalı, her türlü DeFi etkinliğine temkinli bir şekilde katılmalıdır.