تم استهداف مشروع Poolz، مما أسفر عن خسائر تقدر بحوالي 66.5 ألف دولار
في الآونة الأخيرة، أثار حادث أمني يتعلق بالعديد من blockchains اهتماماً في الصناعة. وفقًا لبيانات المراقبة على السلسلة، في صباح يوم 15 مارس، تعرض مشروع Poolz على شبكات Ethereum وBinance وPolygon للهجوم، مما أدى إلى خسائر كبيرة في الرموز، بقيمة إجمالية تبلغ حوالي 665,000 دولار.
استغل المهاجمون ثغرة تجاوز السعة الحسابية في العقد الذكي، وتمكنوا بنجاح من استخراج مجموعة متنوعة من الرموز من المشروع، بما في ذلك MEE و ESNC و DON و ASW و KMON و POOLZ وغيرها. حاليًا، تم تحويل بعض الرموز المسروقة إلى BNB، لكن الأموال لم تُنقل بعد.
الهجوم الحالي يستهدف بشكل رئيسي دالة CreateMassPools في مشروع Poolz. كانت هذه الدالة مصممة في الأصل لإنشاء مجموعات سيولة بشكل جماعي وتوفير سيولة أولية. ومع ذلك، بسبب وجود مشكلة تجاوز عدد صحيح في دالة getArraySum، تمكن المهاجمون من استغلال هذه الثغرة. قام المهاجمون بتمرير معلمات محددة، مما أدى إلى تجاوز نتيجة الجمع نطاق uint256، مما جعل قيمة إرجاع الدالة تساوي 1. هذا يعني أن المهاجمين يحتاجون فقط إلى إدخال رمز واحد، ليتم تسجيل سيولة تفوق بكثير الكمية الفعلية في النظام.
بعد ذلك، قام المهاجم باستدعاء دالة السحب لسحب الرموز، مما أكمل عملية الهجوم بأكملها.
لتجنب حدوث أحداث مماثلة مرة أخرى، يقترح خبراء الصناعة على المطورين استخدام إصدارات أحدث من Solidity للتجميع، حيث تقوم هذه الإصدارات بإجراء فحوصات على الفائض تلقائيًا. بالنسبة للمشاريع التي تستخدم إصدارات أقدم من Solidity، يمكن التفكير في إدخال مكتبة SafeMath من OpenZeppelin لمعالجة مشكلة تجاوز الأعداد.
تُذكّرنا هذه الحادثة مرة أخرى بأهمية الأمان في تطوير العقود الذكية. يحتاج المطورون إلى توخي الحذر بشكل خاص بشأن مخاطر تجاوز الحسابات المحتملة واتخاذ التدابير اللازمة للوقاية. في الوقت نفسه، يُعد إجراء تدقيقات أمان منتظمة وسيلة مهمة لضمان أمان المشروع.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تعرض مشروع Poolz لهجوم، وبلغت الخسائر عبر السلاسل 66.5 ألف دولار أمريكي
تم استهداف مشروع Poolz، مما أسفر عن خسائر تقدر بحوالي 66.5 ألف دولار
في الآونة الأخيرة، أثار حادث أمني يتعلق بالعديد من blockchains اهتماماً في الصناعة. وفقًا لبيانات المراقبة على السلسلة، في صباح يوم 15 مارس، تعرض مشروع Poolz على شبكات Ethereum وBinance وPolygon للهجوم، مما أدى إلى خسائر كبيرة في الرموز، بقيمة إجمالية تبلغ حوالي 665,000 دولار.
استغل المهاجمون ثغرة تجاوز السعة الحسابية في العقد الذكي، وتمكنوا بنجاح من استخراج مجموعة متنوعة من الرموز من المشروع، بما في ذلك MEE و ESNC و DON و ASW و KMON و POOLZ وغيرها. حاليًا، تم تحويل بعض الرموز المسروقة إلى BNB، لكن الأموال لم تُنقل بعد.
الهجوم الحالي يستهدف بشكل رئيسي دالة CreateMassPools في مشروع Poolz. كانت هذه الدالة مصممة في الأصل لإنشاء مجموعات سيولة بشكل جماعي وتوفير سيولة أولية. ومع ذلك، بسبب وجود مشكلة تجاوز عدد صحيح في دالة getArraySum، تمكن المهاجمون من استغلال هذه الثغرة. قام المهاجمون بتمرير معلمات محددة، مما أدى إلى تجاوز نتيجة الجمع نطاق uint256، مما جعل قيمة إرجاع الدالة تساوي 1. هذا يعني أن المهاجمين يحتاجون فقط إلى إدخال رمز واحد، ليتم تسجيل سيولة تفوق بكثير الكمية الفعلية في النظام.
بعد ذلك، قام المهاجم باستدعاء دالة السحب لسحب الرموز، مما أكمل عملية الهجوم بأكملها.
لتجنب حدوث أحداث مماثلة مرة أخرى، يقترح خبراء الصناعة على المطورين استخدام إصدارات أحدث من Solidity للتجميع، حيث تقوم هذه الإصدارات بإجراء فحوصات على الفائض تلقائيًا. بالنسبة للمشاريع التي تستخدم إصدارات أقدم من Solidity، يمكن التفكير في إدخال مكتبة SafeMath من OpenZeppelin لمعالجة مشكلة تجاوز الأعداد.
تُذكّرنا هذه الحادثة مرة أخرى بأهمية الأمان في تطوير العقود الذكية. يحتاج المطورون إلى توخي الحذر بشكل خاص بشأن مخاطر تجاوز الحسابات المحتملة واتخاذ التدابير اللازمة للوقاية. في الوقت نفسه، يُعد إجراء تدقيقات أمان منتظمة وسيلة مهمة لضمان أمان المشروع.