واجه Poolz ثغرة أمنية، وخسارة الأصول الرقمية تبلغ حوالي 665,000 دولار أمريكي
في الفترة الأخيرة، أثارت حادثة أمنية تتعلق بالأصول متعددة السلاسل اهتمام الصناعة. وفقًا لمراقبة البيانات على السلسلة، في حوالي الساعة 3:16 صباحًا بتوقيت UTC في 15 مارس 2023، تعرض مشروع Poolz على شبكة إيثريوم وسلسلة BNB وشبكة بوليغون لهجوم. تشمل هذه الحادثة العديد من الرموز، بما في ذلك MEE و ESNC و DON و ASW و KMON و POOLZ، حيث تأثرت أصول تبلغ حوالي 665,000 دولار.
استغل المهاجمون ثغرات في العقود الذكية لتنفيذ سلسلة من العمليات. أولاً، قاموا بتبادل كمية معينة من رموز MNZ في إحدى بورصات التداول اللامركزية، ثم قاموا باستدعاء دالة CreateMassPools. كان من المفترض أن تُستخدم هذه الدالة لإنشاء مجموعات السيولة بشكل جماعي وتوفير السيولة الأولية، لكن دالة getArraySum تحتوي على خطر تجاوز السعة الحسابية.
بشكل محدد، يقوم المهاجمون من خلال معلمات مصممة بعناية، بجعل مجموع عناصر مصفوفة _StartAmount يتجاوز نطاق تمثيل نوع uint256. وهذا يؤدي إلى تجاوز نتيجة الجمع إلى 1، بينما لا يزال العقد يسجل خصائص المجموعة وفقًا للقيمة الأصلية لـ _StartAmount. لذلك، يحتاج المهاجم فقط إلى إدخال 1 رمز ليتمكن من تسجيل سيولة وهمية كبيرة في النظام.
أخيرًا، استخدم المهاجم دالة السحب لسحب الأموال، وأكمل عملية الهجوم بأكملها. حاليًا، تم تحويل جزء من الأصول المسروقة إلى BNB، لكنها لم تُنقل بعد من عنوان المهاجم.
تُبرز هذه الحادثة مرة أخرى أهمية أمان العقود الذكية. لمنع مشاكل مماثلة، يُنصح المطورون باستخدام إصدارات أحدث من مترجم Solidity، حيث تحتوي على آلية للتحقق من الفيض. بالنسبة للإصدارات القديمة، يمكن أيضًا النظر في إدخال مكتبات أمان طرف ثالث مثل OpenZeppelin لتعزيز أمان الشفرات.
تذكرنا هذه الحادثة أنه في مجال blockchain سريع التطور، يجب أن تكون الأمان دائمًا هي الاعتبار الأول. يجب على فرق المشاريع إعطاء مزيد من الاهتمام لتدقيق الشفرات واختبار الثغرات، ويجب على المستخدمين أيضًا تعزيز وعيهم بالمخاطر والمشاركة بحذر في المشاريع الناشئة. فقط من خلال بناء نظام بيئي أكثر صحة وأمانًا، يمكن دفع التنمية المستدامة للصناعة بأكملها.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تعرض مشروع Poolz لهجوم هاكر، مما أدى إلى فقدان 665,000 دولار من الأصول الرقمية.
واجه Poolz ثغرة أمنية، وخسارة الأصول الرقمية تبلغ حوالي 665,000 دولار أمريكي
في الفترة الأخيرة، أثارت حادثة أمنية تتعلق بالأصول متعددة السلاسل اهتمام الصناعة. وفقًا لمراقبة البيانات على السلسلة، في حوالي الساعة 3:16 صباحًا بتوقيت UTC في 15 مارس 2023، تعرض مشروع Poolz على شبكة إيثريوم وسلسلة BNB وشبكة بوليغون لهجوم. تشمل هذه الحادثة العديد من الرموز، بما في ذلك MEE و ESNC و DON و ASW و KMON و POOLZ، حيث تأثرت أصول تبلغ حوالي 665,000 دولار.
استغل المهاجمون ثغرات في العقود الذكية لتنفيذ سلسلة من العمليات. أولاً، قاموا بتبادل كمية معينة من رموز MNZ في إحدى بورصات التداول اللامركزية، ثم قاموا باستدعاء دالة CreateMassPools. كان من المفترض أن تُستخدم هذه الدالة لإنشاء مجموعات السيولة بشكل جماعي وتوفير السيولة الأولية، لكن دالة getArraySum تحتوي على خطر تجاوز السعة الحسابية.
بشكل محدد، يقوم المهاجمون من خلال معلمات مصممة بعناية، بجعل مجموع عناصر مصفوفة _StartAmount يتجاوز نطاق تمثيل نوع uint256. وهذا يؤدي إلى تجاوز نتيجة الجمع إلى 1، بينما لا يزال العقد يسجل خصائص المجموعة وفقًا للقيمة الأصلية لـ _StartAmount. لذلك، يحتاج المهاجم فقط إلى إدخال 1 رمز ليتمكن من تسجيل سيولة وهمية كبيرة في النظام.
أخيرًا، استخدم المهاجم دالة السحب لسحب الأموال، وأكمل عملية الهجوم بأكملها. حاليًا، تم تحويل جزء من الأصول المسروقة إلى BNB، لكنها لم تُنقل بعد من عنوان المهاجم.
تُبرز هذه الحادثة مرة أخرى أهمية أمان العقود الذكية. لمنع مشاكل مماثلة، يُنصح المطورون باستخدام إصدارات أحدث من مترجم Solidity، حيث تحتوي على آلية للتحقق من الفيض. بالنسبة للإصدارات القديمة، يمكن أيضًا النظر في إدخال مكتبات أمان طرف ثالث مثل OpenZeppelin لتعزيز أمان الشفرات.
تذكرنا هذه الحادثة أنه في مجال blockchain سريع التطور، يجب أن تكون الأمان دائمًا هي الاعتبار الأول. يجب على فرق المشاريع إعطاء مزيد من الاهتمام لتدقيق الشفرات واختبار الثغرات، ويجب على المستخدمين أيضًا تعزيز وعيهم بالمخاطر والمشاركة بحذر في المشاريع الناشئة. فقط من خلال بناء نظام بيئي أكثر صحة وأمانًا، يمكن دفع التنمية المستدامة للصناعة بأكملها.