- الموضوع
47k درجة الشعبية
20k درجة الشعبية
63k درجة الشعبية
31k درجة الشعبية
4k درجة الشعبية
115k درجة الشعبية
29k درجة الشعبية
28k درجة الشعبية
7k درجة الشعبية
18k درجة الشعبية
- تثبيت
47k درجة الشعبية
20k درجة الشعبية
63k درجة الشعبية
31k درجة الشعبية
4k درجة الشعبية
115k درجة الشعبية
29k درجة الشعبية
28k درجة الشعبية
7k درجة الشعبية
18k درجة الشعبية
تعرضت Poolz لهجوم من نوع تجاوز السعة الرياضية، مما أدى إلى خسارة متعددة السلاسل بقيمة 665000 دولار أمريكي.
Poolz تتعرض لهجوم تجاوز سعة الحسابات، خسارة تبلغ حوالي 66.5 ألف دولار
في الآونة الأخيرة، وقعت حادثة أمنية خطيرة في عدة شبكات بلوكشين. وفقًا لمراقبة بيانات البلوكشين، في الساعة الواحدة صباحًا من 15 مارس، تعرض مشروع Poolz على شبكة الإيثيريوم وسلسلة BNB الذكية وشبكة بوليغون لهجوم من قبل قراصنة، مما أدى إلى سرقة كميات كبيرة من الرموز.
الهجوم الحالي يشمل مجموعة متنوعة من الرموز، بما في ذلك MEE و ESNC و DON و ASW و KMON و POOLZ وغيرها. القيمة الإجمالية للرموز المسروقة تبلغ حوالي 665,000 دولار أمريكي. حتى الآن، قام المهاجمون بتحويل جزء من الرموز المسروقة إلى BNB، لكن لم يتم تحويل الأموال بعد من عنوان الهجوم.
أظهرت التحليلات أن هذا الهجوم استغل بشكل رئيسي ثغرة في الفائض الحسابي في عقد Poolz الذكي. قام المهاجمون من خلال استدعاء دالة CreateMassPools بالتلاعب بذكاء في حساب عدد الرموز، مما أتاح لهم الحصول على عدد كبير من الرموز مقابل كمية قليلة جداً من الرموز.
على وجه التحديد، قام المهاجم أولاً بتبادل كمية صغيرة من رموز MNZ في أحد البورصات اللامركزية. بعد ذلك، استدعى المهاجم دالة CreateMassPools لإنشاء برك السيولة بشكل جماعي. كان من المفترض أن تُستخدم هذه الدالة من قبل المستخدمين لإنشاء برك بشكل جماعي وتوفير سيولة أولية.
تتمثل المشكلة في دالة getArraySum. هذه الدالة مسؤولة عن حساب مقدار السيولة الأولية التي يقدمها المستخدم. قام المهاجم بإدخال مصفوفة مُنشأة بشكل خاص تحتوي على رقمين ضخمين. عندما يتم جمع هذين الرقمين، يحدث تجاوز عددي نتيجة لقيود نوع uint256، مما يؤدي إلى تحويل النتيجة النهائية إلى 1.
ومع ذلك، استخدم العقد قيمًا كبيرة من المدخلات الأصلية عند تسجيل خصائص التجمع. وقد أدى ذلك إلى تناقض خطير: فقد قام المهاجم فعليًا بتحويل رمز واحد فقط، لكن العقد سجل قيمة ضخمة. وفي النهاية، تمكن المهاجم من سحب كمية كبيرة من الرموز بسهولة من خلال استدعاء دالة السحب، وأكمل عملية الهجوم بأكملها.
تسلط هذه الحادثة الضوء مرة أخرى على أهمية أمان العقود الذكية. لمنع حدوث مشكلات مماثلة، يُنصح المطورون باستخدام إصدارات أحدث من لغة برمجة Solidity، حيث يتم إجراء فحص تلقائي للتجاوزات أثناء عملية التجميع في الإصدارات الجديدة. بالنسبة للمشاريع التي تستخدم إصدارًا قديمًا من Solidity، يمكن النظر في إدخال مكتبة SafeMath من OpenZeppelin لحل مشكلة تجاوز الأعداد.
تذكرنا هذه الحادثة بأنه حتى الأخطاء البرمجية الصغيرة قد تؤدي إلى خسائر اقتصادية كبيرة. يجب على مشاريع البلوكشين أن تولي المزيد من الاهتمام لمراجعة الشيفرة واختبارات الأمان لضمان سلامة أصول المستخدمين.