تعرض Poolz لهجوم ثغرة تجاوز حسابي، خسارة تقترب من 67 ألف دولار أمريكي
في الآونة الأخيرة، أثار حادث هجوم على مشروع Poolz متعدد السلاسل اهتمامًا واسعًا في الصناعة. وفقًا لبيانات مراقبة السلسلة، وقع الهجوم في 15 مارس 2023، وشمل عدة سلاسل عامة مثل Ethereum وBNB Chain وPolygon.
هذا الهجوم أدى إلى سرقة كمية كبيرة من الرموز بما في ذلك رموز عدة مشاريع مثل MEE و ESNC و DON و ASW و KMON و POOLZ. التقدير الأولي لقيمة الأصول المسروقة حوالي 665,000 دولار. حاليا، تم تبادل بعض الرموز المسروقة من قبل المهاجمين إلى BNB، ولكن لم يتم نقلها بعد من عنوان تحت سيطرة المهاجمين.
أظهرت التحليلات أن الهجوم كان يعتمد بشكل رئيسي على ثغرة تجاوز السعة الحسابية في العقد الذكي لمشروع Poolz. وقد قام المهاجمون من خلال مدخلات مُصممة بمهارة بتحفيز تجاوز العدد الصحيح أثناء إنشاء تجمعات السيولة بشكل جماعي، مما أتاح لهم الحصول على كمية كبيرة من السيولة مقابل كمية قليلة من الرموز.
على وجه التحديد، قام المهاجم أولاً بتحويل كمية صغيرة من رموز MNZ في بورصة لامركزية معينة. ثم، قام المهاجم باستدعاء دالة CreateMassPools في عقد Poolz، والتي تسمح للمستخدمين بإنشاء برك السيولة بكميات كبيرة وتوفير السيولة الأولية. تكمن المشكلة في دالة getArraySum، التي تُستخدم لحساب إجمالي السيولة الأولية التي يوفرها المستخدم.
قام المهاجمون بإنشاء مصفوفة تحتوي على أرقام ضخمة كمعاملات إدخال. عندما تم جمع هذه الأرقام، حدثت زيادة في الأعداد الصحيحة، مما أدى إلى وجود فرق شاسع بين عدد الرموز التي تم تحويلها فعليًا والعدد المسجل. في النهاية، قام المهاجم بتحويل رمز واحد فقط، لكنه سجل قيمة ضخمة من السيولة في العقد.
بعد إتمام الإجراءات المذكورة أعلاه، قام المهاجم على الفور باستدعاء دالة السحب لسحب الأموال، مما أتم عملية الهجوم بسهولة.
تُبرز هذه الحادثة مرة أخرى خطورة مشكلة تجاوز الحساب في العقود الذكية. من أجل تجنب مخاطر مماثلة، يوصي الخبراء في الصناعة المطورين باستخدام إصدارات أحدث من لغة البرمجة Solidity، حيث تقوم هذه الإصدارات بإجراء فحوصات تلقائية للتجاوز أثناء عملية التجميع. بالنسبة للمشاريع التي تستخدم إصدارات أقدم من Solidity، يمكن النظر في إدخال مكتبات أمان ناضجة مثل OpenZeppelin لحل مشكلة تجاوز الأعداد الصحيحة.
تذكرنا هذه الحادثة بأن أمان العقود هو دائمًا قضية رئيسية لا يمكن تجاهلها في نظام blockchain الإيكولوجي. يجب على المشاريع تعزيز تدقيق الكود واختبارات الأمان باستمرار، ويجب على المستخدمين أن يظلوا يقظين عند المشاركة في مشاريع جديدة وأن يقيموا المخاطر ذات الصلة بحذر.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 18
أعجبني
18
5
مشاركة
تعليق
0/400
PositionPhobia
· منذ 4 س
خسرت بشكل فادح إيقاف الخسارة لا يمكنني تنفيذه
شاهد النسخة الأصليةرد0
StrawberryIce
· منذ 4 س
مليء بالثغرات والثغرات، أي عقد يمكن الاعتماد عليه!
شاهد النسخة الأصليةرد0
InscriptionGriller
· منذ 4 س
مثال آخر رائع على القضاء على الفيروس، يتم خداع الناس لتحقيق الربح يومياً
شاهد النسخة الأصليةرد0
SeasonedInvestor
· منذ 4 س
مرة أخرى تم سحبها! ما هي العقد التي تم اختبارها؟
شاهد النسخة الأصليةرد0
SchrodingersPaper
· منذ 4 س
هل تم سحبك مرة أخرى؟ لا تزال تلعب العقود دون اختبار الفائض! أنت سيء للغاية!
تعرض Poolz لهجوم بسيط من خلال تجاوز السعة، حيث تكبدت العديد من الشبكات خسائر تقارب 670,000 دولار أمريكي.
تعرض Poolz لهجوم ثغرة تجاوز حسابي، خسارة تقترب من 67 ألف دولار أمريكي
في الآونة الأخيرة، أثار حادث هجوم على مشروع Poolz متعدد السلاسل اهتمامًا واسعًا في الصناعة. وفقًا لبيانات مراقبة السلسلة، وقع الهجوم في 15 مارس 2023، وشمل عدة سلاسل عامة مثل Ethereum وBNB Chain وPolygon.
هذا الهجوم أدى إلى سرقة كمية كبيرة من الرموز بما في ذلك رموز عدة مشاريع مثل MEE و ESNC و DON و ASW و KMON و POOLZ. التقدير الأولي لقيمة الأصول المسروقة حوالي 665,000 دولار. حاليا، تم تبادل بعض الرموز المسروقة من قبل المهاجمين إلى BNB، ولكن لم يتم نقلها بعد من عنوان تحت سيطرة المهاجمين.
أظهرت التحليلات أن الهجوم كان يعتمد بشكل رئيسي على ثغرة تجاوز السعة الحسابية في العقد الذكي لمشروع Poolz. وقد قام المهاجمون من خلال مدخلات مُصممة بمهارة بتحفيز تجاوز العدد الصحيح أثناء إنشاء تجمعات السيولة بشكل جماعي، مما أتاح لهم الحصول على كمية كبيرة من السيولة مقابل كمية قليلة من الرموز.
على وجه التحديد، قام المهاجم أولاً بتحويل كمية صغيرة من رموز MNZ في بورصة لامركزية معينة. ثم، قام المهاجم باستدعاء دالة CreateMassPools في عقد Poolz، والتي تسمح للمستخدمين بإنشاء برك السيولة بكميات كبيرة وتوفير السيولة الأولية. تكمن المشكلة في دالة getArraySum، التي تُستخدم لحساب إجمالي السيولة الأولية التي يوفرها المستخدم.
قام المهاجمون بإنشاء مصفوفة تحتوي على أرقام ضخمة كمعاملات إدخال. عندما تم جمع هذه الأرقام، حدثت زيادة في الأعداد الصحيحة، مما أدى إلى وجود فرق شاسع بين عدد الرموز التي تم تحويلها فعليًا والعدد المسجل. في النهاية، قام المهاجم بتحويل رمز واحد فقط، لكنه سجل قيمة ضخمة من السيولة في العقد.
بعد إتمام الإجراءات المذكورة أعلاه، قام المهاجم على الفور باستدعاء دالة السحب لسحب الأموال، مما أتم عملية الهجوم بسهولة.
تُبرز هذه الحادثة مرة أخرى خطورة مشكلة تجاوز الحساب في العقود الذكية. من أجل تجنب مخاطر مماثلة، يوصي الخبراء في الصناعة المطورين باستخدام إصدارات أحدث من لغة البرمجة Solidity، حيث تقوم هذه الإصدارات بإجراء فحوصات تلقائية للتجاوز أثناء عملية التجميع. بالنسبة للمشاريع التي تستخدم إصدارات أقدم من Solidity، يمكن النظر في إدخال مكتبات أمان ناضجة مثل OpenZeppelin لحل مشكلة تجاوز الأعداد الصحيحة.
تذكرنا هذه الحادثة بأن أمان العقود هو دائمًا قضية رئيسية لا يمكن تجاهلها في نظام blockchain الإيكولوجي. يجب على المشاريع تعزيز تدقيق الكود واختبارات الأمان باستمرار، ويجب على المستخدمين أن يظلوا يقظين عند المشاركة في مشاريع جديدة وأن يقيموا المخاطر ذات الصلة بحذر.