تعرض Poolz لهجوم ثغرة تجاوز العد، مما أدى إلى خسارة حوالي 66.5 ألف دولار أمريكي
في الفترة الأخيرة، أثار حادث الهجوم على Poolz اهتمامًا واسعًا في مجتمع العملات المشفرة. وفقًا لبيانات المراقبة على السلسلة، حدث الهجوم في 15 مارس 2023، وشمل عدة سلاسل مثل إيثيريوم و BNB Chain و Polygon. أدى هذا الهجوم إلى خسائر في عدة رموز، بإجمالي قيمة تقارب 665,000 دولار.
استغل المهاجمون ثغرة في حسابات overflow الرياضية في عقد Poolz الذكي. وبالتحديد، تكمن المشكلة في دالة getArraySum داخل دالة CreateMassPools. حيث تؤدي هذه الدالة عند حساب عدد الرموز إلى عدم تطابق العدد الفعلي للرموز المدخلة مع العدد المسجل بسبب مشكلة overflow.
تكون عملية الهجوم على النحو التالي:
قام المهاجم أولاً بتبادل بعض رموز MNZ في بورصة لامركزية معينة.
بعد ذلك تم استدعاء دالة CreateMassPools. كان من المفترض أن تسمح هذه الدالة للمستخدمين بإنشاء أحواض السيولة بشكل جماعي وتوفير السيولة الأولية.
خلال عملية CreatePool، بسبب مشكلة تجاوز دالة getArraySum، يحتاج المهاجم فقط إلى تحويل رمز واحد، ولكن النظام يسجل قيمة أكبر بكثير من الكمية الفعلية.
أخيرًا، قام المهاجم بسحب رموز تفوق بكثير الكمية التي أودعها فعليًا من خلال دالة السحب، مما أكمل الهجوم.
تُبرز هذه الحادثة مرة أخرى أهمية العمليات الحسابية في العقود الذكية والمخاطر المحتملة. لمنع حدوث مشكلات مماثلة، يجب على المطورين النظر في استخدام إصدارات أحدث من مُجمع Solidity، حيث تقوم هذه الإصدارات بإجراء فحوصات تلقائية على الفيض. بالنسبة للمشاريع التي تستخدم إصدارات قديمة من Solidity، يُوصى باستخدام مكتبة SafeMath من OpenZeppelin للتعامل مع العمليات الصحيحة، لتفادي مخاطر الفيض.
تذكرنا هذه الحادثة بأنه يجب أن تكون الأمان دائمًا هو الاعتبار الأول في تطوير blockchain والعقود الذكية. إن عمليات التدقيق المنتظمة للكود، واستخدام المكتبات التي تم التحقق منها، واتخاذ تدابير أمان شاملة، هي أمور حيوية لحماية أصول المستخدمين والحفاظ على سمعة المشروع.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 5
أعجبني
5
2
مشاركة
تعليق
0/400
GweiTooHigh
· منذ 13 س
مرة أخرى، هناك تجاوز. لا يزال هناك مشاريع ترتكب هذا الخطأ السخيف.
شاهد النسخة الأصليةرد0
bridge_anxiety
· منذ 13 س
هل أن هذا المشروع القديم يحتوي على ثغرات؟ من الصعب التحمل.
تعرض Poolz لهجوم تجاوز السعة الرياضية وخسرت 665,000 دولار أمريكي
تعرض Poolz لهجوم ثغرة تجاوز العد، مما أدى إلى خسارة حوالي 66.5 ألف دولار أمريكي
في الفترة الأخيرة، أثار حادث الهجوم على Poolz اهتمامًا واسعًا في مجتمع العملات المشفرة. وفقًا لبيانات المراقبة على السلسلة، حدث الهجوم في 15 مارس 2023، وشمل عدة سلاسل مثل إيثيريوم و BNB Chain و Polygon. أدى هذا الهجوم إلى خسائر في عدة رموز، بإجمالي قيمة تقارب 665,000 دولار.
استغل المهاجمون ثغرة في حسابات overflow الرياضية في عقد Poolz الذكي. وبالتحديد، تكمن المشكلة في دالة getArraySum داخل دالة CreateMassPools. حيث تؤدي هذه الدالة عند حساب عدد الرموز إلى عدم تطابق العدد الفعلي للرموز المدخلة مع العدد المسجل بسبب مشكلة overflow.
تكون عملية الهجوم على النحو التالي:
قام المهاجم أولاً بتبادل بعض رموز MNZ في بورصة لامركزية معينة.
بعد ذلك تم استدعاء دالة CreateMassPools. كان من المفترض أن تسمح هذه الدالة للمستخدمين بإنشاء أحواض السيولة بشكل جماعي وتوفير السيولة الأولية.
خلال عملية CreatePool، بسبب مشكلة تجاوز دالة getArraySum، يحتاج المهاجم فقط إلى تحويل رمز واحد، ولكن النظام يسجل قيمة أكبر بكثير من الكمية الفعلية.
أخيرًا، قام المهاجم بسحب رموز تفوق بكثير الكمية التي أودعها فعليًا من خلال دالة السحب، مما أكمل الهجوم.
تُبرز هذه الحادثة مرة أخرى أهمية العمليات الحسابية في العقود الذكية والمخاطر المحتملة. لمنع حدوث مشكلات مماثلة، يجب على المطورين النظر في استخدام إصدارات أحدث من مُجمع Solidity، حيث تقوم هذه الإصدارات بإجراء فحوصات تلقائية على الفيض. بالنسبة للمشاريع التي تستخدم إصدارات قديمة من Solidity، يُوصى باستخدام مكتبة SafeMath من OpenZeppelin للتعامل مع العمليات الصحيحة، لتفادي مخاطر الفيض.
تذكرنا هذه الحادثة بأنه يجب أن تكون الأمان دائمًا هو الاعتبار الأول في تطوير blockchain والعقود الذكية. إن عمليات التدقيق المنتظمة للكود، واستخدام المكتبات التي تم التحقق منها، واتخاذ تدابير أمان شاملة، هي أمور حيوية لحماية أصول المستخدمين والحفاظ على سمعة المشروع.