Poolz güvenlik açığına maruz kaldı, dijital varlık kaybı yaklaşık 66.5 milyon dolar
Son günlerde, çok zincirli varlıklara yönelik bir güvenlik olayı sektörde dikkat çekti. Zincir üzerindeki veri izlemelerine göre, UTC zaman diliminde 15 Mart 2023'te sabah 3:16 civarında, Ethereum, BNB zinciri ve Polygon ağı üzerindeki Poolz projesi saldırıya uğradı. Bu olay, MEE, ESNC, DON, ASW, KMON, POOLZ gibi çeşitli tokenleri içeriyor ve toplamda yaklaşık 66.5 milyon dolar değerinde dijital varlık etkilendi.
Saldırgan, akıllı sözleşme açığını kullanarak bir dizi işlem gerçekleştirdi. Öncelikle belirli bir miktar MNZ token'ını bir merkeziyetsiz borsa üzerinden takas etti, ardından CreateMassPools fonksiyonunu çağırdı. Bu fonksiyon, toplu likidite havuzları oluşturmak ve başlangıç likiditesi sağlamak için kullanılmalıydı, ancak içindeki getArraySum fonksiyonu aritmetik taşma riski taşımaktaydı.
Özellikle, saldırganlar dikkatlice yapılandırılmış parametreler aracılığıyla _StartAmount dizisindeki öğelerin toplamının uint256 türünün temsil aralığını aşmasını sağladı. Bu, toplama sonucunun 1 olarak taşmasına neden oldu, ancak sözleşme hala orijinal _StartAmount değerine göre havuz özelliklerini kaydetti. Bu nedenle, saldırganın sisteme sadece 1 token göndermesi yeterli oldu ve bu da sistemde büyük miktarda sahte likidite kaydedilmesine yol açtı.
Son olarak, saldırgan withdraw fonksiyonunu çağırarak fonları çekti ve tüm saldırı sürecini tamamladı. Şu anda, çalınan varlıkların bir kısmı BNB'ye dönüştürüldü, ancak henüz saldırgan adresinden transfer edilmedi.
Bu olay, akıllı sözleşmelerin güvenliğinin önemini bir kez daha vurgulamaktadır. Benzer sorunları önlemek için, geliştiricilerin daha yeni bir Solidity derleyici sürümü kullanmaları önerilir; bu sürüm, taşma kontrol mekanizması içermektedir. Eski sürümler için de, kod güvenliğini artırmak amacıyla OpenZeppelin gibi üçüncü taraf güvenlik kütüphanelerinin entegrasyonu düşünülmelidir.
Bu olay, hızlı gelişen blok zinciri alanında güvenliğin her zaman öncelikli bir husus olması gerektiğini hatırlatıyor. Proje sahipleri, kod denetimi ve güvenlik testlerine daha fazla önem vermelidir; kullanıcılar da risk bilincini artırmalı ve yeni projelere katılırken dikkatli olmalıdır. Sadece daha sağlıklı ve güvenli bir ekosistem inşa ederek, tüm sektörün sürdürülebilir gelişimini destekleyebiliriz.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Poolz projesi Hacker saldırısına uğradı, 66.5 milyon dolar dijital varlık kaybı yaşandı.
Poolz güvenlik açığına maruz kaldı, dijital varlık kaybı yaklaşık 66.5 milyon dolar
Son günlerde, çok zincirli varlıklara yönelik bir güvenlik olayı sektörde dikkat çekti. Zincir üzerindeki veri izlemelerine göre, UTC zaman diliminde 15 Mart 2023'te sabah 3:16 civarında, Ethereum, BNB zinciri ve Polygon ağı üzerindeki Poolz projesi saldırıya uğradı. Bu olay, MEE, ESNC, DON, ASW, KMON, POOLZ gibi çeşitli tokenleri içeriyor ve toplamda yaklaşık 66.5 milyon dolar değerinde dijital varlık etkilendi.
Saldırgan, akıllı sözleşme açığını kullanarak bir dizi işlem gerçekleştirdi. Öncelikle belirli bir miktar MNZ token'ını bir merkeziyetsiz borsa üzerinden takas etti, ardından CreateMassPools fonksiyonunu çağırdı. Bu fonksiyon, toplu likidite havuzları oluşturmak ve başlangıç likiditesi sağlamak için kullanılmalıydı, ancak içindeki getArraySum fonksiyonu aritmetik taşma riski taşımaktaydı.
Özellikle, saldırganlar dikkatlice yapılandırılmış parametreler aracılığıyla _StartAmount dizisindeki öğelerin toplamının uint256 türünün temsil aralığını aşmasını sağladı. Bu, toplama sonucunun 1 olarak taşmasına neden oldu, ancak sözleşme hala orijinal _StartAmount değerine göre havuz özelliklerini kaydetti. Bu nedenle, saldırganın sisteme sadece 1 token göndermesi yeterli oldu ve bu da sistemde büyük miktarda sahte likidite kaydedilmesine yol açtı.
Son olarak, saldırgan withdraw fonksiyonunu çağırarak fonları çekti ve tüm saldırı sürecini tamamladı. Şu anda, çalınan varlıkların bir kısmı BNB'ye dönüştürüldü, ancak henüz saldırgan adresinden transfer edilmedi.
Bu olay, akıllı sözleşmelerin güvenliğinin önemini bir kez daha vurgulamaktadır. Benzer sorunları önlemek için, geliştiricilerin daha yeni bir Solidity derleyici sürümü kullanmaları önerilir; bu sürüm, taşma kontrol mekanizması içermektedir. Eski sürümler için de, kod güvenliğini artırmak amacıyla OpenZeppelin gibi üçüncü taraf güvenlik kütüphanelerinin entegrasyonu düşünülmelidir.
Bu olay, hızlı gelişen blok zinciri alanında güvenliğin her zaman öncelikli bir husus olması gerektiğini hatırlatıyor. Proje sahipleri, kod denetimi ve güvenlik testlerine daha fazla önem vermelidir; kullanıcılar da risk bilincini artırmalı ve yeni projelere katılırken dikkatli olmalıdır. Sadece daha sağlıklı ve güvenli bir ekosistem inşa ederek, tüm sektörün sürdürülebilir gelişimini destekleyebiliriz.