تم الهجوم على Poolz ، وبلغت الخسائر حوالي 66.5 ألف دولار أمريكي
مؤخراً، تعرضت منصة Poolz لحدث أمني خطير، مما أدى إلى خسائر تقدر بحوالي 665,000 دولار أمريكي. كانت هذه الهجمة تشمل عدة سلاسل كتل، بما في ذلك إيثيريوم، وBNB سمارت تشين، وPolygon.
استغل المهاجمون ثغرة في التجاوز العددي في عقد Poolz. على وجه التحديد، كانت المشكلة في دالة getArraySum داخل دالة CreateMassPools. لم تتمكن هذه الدالة من معالجة الأعداد الكبيرة بشكل صحيح عند حساب كمية الرموز، مما أدى إلى تجاوز، مما سمح للمهاجمين بالحصول على كميات كبيرة من الرموز بتكلفة منخفضة جدًا.
تكون عملية الهجوم على النحو التالي:
قام المهاجم أولاً بتبادل كمية صغيرة من رموز MNZ على DEX معين.
ثم تم استدعاء دالة CreateMassPools التي تحتوي على ثغرات. كان من المفترض أن تسمح هذه الدالة للمستخدمين بإنشاء أحواض السيولة بشكل جماعي وتوفير السيولة الأولية.
من خلال معلمات مصممة بعناية، قام المهاجم بتحفيز تجاوز السعة في دالة getArraySum. أدى ذلك إلى اعتقاد النظام بشكل خاطئ أن المهاجم قد قدم كمية كبيرة من الرموز، بينما في الواقع تم تحويل كمية صغيرة جدًا فقط.
أخيرًا، استخدم المهاجم دالة السحب لسحب رموز غير تخصه، مما أكمل الهجوم.
تتعلق هذه الحادثة بعدة رموز، بما في ذلك MEE و ESNC و DON و ASW و KMON و POOLZ وغيرها. وقد قام المهاجمون بتحويل جزء من الأرباح إلى BNB، ولكن لم يتم حتى وقت التقرير تحويل الأموال.
لتجنب المشكلات المماثلة، يوصي خبراء الأمن المطورين باستخدام إصدارات أحدث من لغة البرمجة Solidity، حيث تقوم هذه الإصدارات بإجراء فحوصات تجاوز تلقائيًا أثناء الترجمة. بالنسبة للمشاريع التي تستخدم إصدارات قديمة من Solidity، يمكن النظر في استخدام مكتبة SafeMath من OpenZeppelin لمنع تجاوز الأعداد الصحيحة.
تؤكد هذه الحادثة مرة أخرى على أهمية إجراء تدقيق أمني صارم في تطوير العقود الذكية، خاصة عند التعامل مع الوظائف التي تتضمن حسابات كبيرة. كما تذكر المستثمرين والمستخدمين بضرورة توخي الحذر تجاه المشاريع الجديدة في مجال التمويل اللامركزي، ومتابعة حالة الأمان في المشاريع باستمرار.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 13
أعجبني
13
6
إعادة النشر
مشاركة
تعليق
0/400
ser_we_are_ngmi
· منذ 10 س
مرة أخرى، ثغرة تسرب، هبوط مستمر!
شاهد النسخة الأصليةرد0
BlockchainThinkTank
· منذ 10 س
استنادًا إلى التجربة، فإن مثل هذه ثغرات الفيضانات تتعلق بمستوى الأساس لفريق التطوير، يُنصح الجميع بالابتعاد عن هذه المشاريع.
شاهد النسخة الأصليةرد0
NFTRegretDiary
· منذ 10 س
مرة أخرى، ثغرة في التدفق الزائد، العقود الذكية للمبتدئين تخرج من الساحة
تعرض Poolz لهجوم هاكر وبلغت الخسائر عبر السلاسل 66.5 ألف دولار أمريكي
تم الهجوم على Poolz ، وبلغت الخسائر حوالي 66.5 ألف دولار أمريكي
مؤخراً، تعرضت منصة Poolz لحدث أمني خطير، مما أدى إلى خسائر تقدر بحوالي 665,000 دولار أمريكي. كانت هذه الهجمة تشمل عدة سلاسل كتل، بما في ذلك إيثيريوم، وBNB سمارت تشين، وPolygon.
استغل المهاجمون ثغرة في التجاوز العددي في عقد Poolz. على وجه التحديد، كانت المشكلة في دالة getArraySum داخل دالة CreateMassPools. لم تتمكن هذه الدالة من معالجة الأعداد الكبيرة بشكل صحيح عند حساب كمية الرموز، مما أدى إلى تجاوز، مما سمح للمهاجمين بالحصول على كميات كبيرة من الرموز بتكلفة منخفضة جدًا.
تكون عملية الهجوم على النحو التالي:
قام المهاجم أولاً بتبادل كمية صغيرة من رموز MNZ على DEX معين.
ثم تم استدعاء دالة CreateMassPools التي تحتوي على ثغرات. كان من المفترض أن تسمح هذه الدالة للمستخدمين بإنشاء أحواض السيولة بشكل جماعي وتوفير السيولة الأولية.
من خلال معلمات مصممة بعناية، قام المهاجم بتحفيز تجاوز السعة في دالة getArraySum. أدى ذلك إلى اعتقاد النظام بشكل خاطئ أن المهاجم قد قدم كمية كبيرة من الرموز، بينما في الواقع تم تحويل كمية صغيرة جدًا فقط.
أخيرًا، استخدم المهاجم دالة السحب لسحب رموز غير تخصه، مما أكمل الهجوم.
تتعلق هذه الحادثة بعدة رموز، بما في ذلك MEE و ESNC و DON و ASW و KMON و POOLZ وغيرها. وقد قام المهاجمون بتحويل جزء من الأرباح إلى BNB، ولكن لم يتم حتى وقت التقرير تحويل الأموال.
لتجنب المشكلات المماثلة، يوصي خبراء الأمن المطورين باستخدام إصدارات أحدث من لغة البرمجة Solidity، حيث تقوم هذه الإصدارات بإجراء فحوصات تجاوز تلقائيًا أثناء الترجمة. بالنسبة للمشاريع التي تستخدم إصدارات قديمة من Solidity، يمكن النظر في استخدام مكتبة SafeMath من OpenZeppelin لمنع تجاوز الأعداد الصحيحة.
تؤكد هذه الحادثة مرة أخرى على أهمية إجراء تدقيق أمني صارم في تطوير العقود الذكية، خاصة عند التعامل مع الوظائف التي تتضمن حسابات كبيرة. كما تذكر المستثمرين والمستخدمين بضرورة توخي الحذر تجاه المشاريع الجديدة في مجال التمويل اللامركزي، ومتابعة حالة الأمان في المشاريع باستمرار.