- Topic
6k Popularity
2k Popularity
7k Popularity
143k Popularity
1850k Popularity
63k Popularity
112k Popularity
451k Popularity
7207k Popularity
10722k Popularity
- Pin
6k Popularity
2k Popularity
7k Popularity
143k Popularity
1850k Popularity
63k Popularity
112k Popularity
451k Popularity
7207k Popularity
10722k Popularity
Poolz, aritmetik taşma saldırısına uğradı, çoklu zincirlerde 66.5 bin dolar kaybı yaşandı.
Poolz, aritmetik taşma açığı saldırısına uğradı, kayıplar 665.000 dolara ulaştı
Son günlerde, Poolz adlı çok zincirli platforma yönelik bir saldırı olayı sektörde dikkat çekti. Saldırganlar, akıllı sözleşmedeki aritmetik taşma açığını kullanarak, Ethereum, BNB Zinciri ve Polygon gibi birçok ağdan büyük miktarlarda token çalmayı başardılar; bu olayın neden olduğu kaybın yaklaşık 665,000 dolar olduğu tahmin ediliyor.
Zincir üzerindeki verilere göre, bu saldırı 15 Mart 2023'te gerçekleşti. Saldırganlar MEE, ESNC, DON, ASW, KMON, POOLZ gibi çeşitli token'ları ele geçirdi. Şu anda, çalınan fonların bir kısmı BNB'ye dönüştürülmüş durumda, ancak henüz başka bir adrese aktarılmadı.
Saldırganlar esas olarak Poolz akıllı sözleşmesindeki CreateMassPools fonksiyonundaki açığı kullandılar. Bu fonksiyon, kullanıcıların toplu olarak likidite havuzları oluşturmasına ve başlangıç likiditesi sağlamasına olanak tanır. Sorun, transfer edilen token miktarını hesaplamak için kullanılan getArraySum fonksiyonundadır. Saldırganlar, dikkatlice hazırlanmış girdi verileri ile toplam sonucunun uint256 türünün sınırını aşmasını sağlayarak, taşma sonucunda dönen değerin 1 olmasına neden oldular.
Bu aritmetik taşma, saldırganın sadece 1 token göndermesiyle sistemde gerçek miktarın çok üzerinde bir likidite kaydı oluşturmasına neden oluyor. Ardından, saldırgan withdraw fonksiyonunu çağırarak yetkisiz bir şekilde büyük miktarda token çekebiliyor.
Benzer olayların tekrar meydana gelmesini önlemek için, güvenlik uzmanları geliştiricilere sözleşme derleme işlemleri için daha yeni bir Solidity versiyonu kullanmalarını önermektedir, çünkü yeni versiyon otomatik olarak taşma kontrolleri yapmaktadır. Daha eski Solidity versiyonlarını kullanan projeler için, tam sayılardaki taşma sorununu çözmek amacıyla OpenZeppelin'in SafeMath kütüphanesinin entegre edilmesi düşünülebilir.
Bu olay, akıllı sözleşmelerin güvenlik denetiminin önemini bir kez daha vurguluyor, özellikle büyük sayısal hesaplamalarla uğraşırken ekstra dikkatli olunması gerektiğini. DeFi projeleri için kapsamlı güvenlik testleri ve düzenli kod incelemeleri, kullanıcı fonlarının güvenliğini sağlamak için anahtar önlemlerdir.