Poolz sufre un ataque de desbordamiento aritmético, con pérdidas de 665,000 dólares.
Recientemente, un ataque a la plataforma de cadena cruzada Poolz ha llamado la atención de la industria. Los atacantes aprovecharon una vulnerabilidad de desbordamiento aritmético en el contrato inteligente para robar con éxito una gran cantidad de tokens de múltiples redes, incluyendo Ethereum, BNB Chain y Polygon, causando pérdidas estimadas en alrededor de 665,000 dólares.
Según los datos en la cadena, el ataque ocurrió en la madrugada del 15 de marzo de 2023. Los atacantes obtuvieron varios tokens, incluidos MEE, ESNC, DON, ASW, KMON, POOLZ, entre otros. Actualmente, parte de los fondos robados ha sido cambiada a BNB, pero aún no se ha transferido a otras direcciones.
Los atacantes aprovecharon principalmente la vulnerabilidad de la función CreateMassPools en el contrato inteligente de Poolz. Esta función permite a los usuarios crear múltiples fondos de liquidez y proporcionar liquidez inicial. El problema radica en la función getArraySum, que se utiliza para calcular la cantidad de tokens entrantes. Los atacantes, mediante datos de entrada cuidadosamente elaborados, hicieron que el resultado acumulado excediera el rango del tipo uint256, lo que provocó que, tras el desbordamiento, el valor de retorno se convirtiera en 1.
Esta sobrecarga aritmética permite que un atacante solo necesite transferir 1 token para registrar una enorme liquidez que supera con creces la cantidad real en el sistema. Luego, el atacante pudo retirar fácilmente una gran cantidad de tokens no autorizados al invocar la función withdraw.
Para prevenir que eventos similares ocurran nuevamente, los expertos en seguridad recomiendan a los desarrolladores utilizar versiones más nuevas de Solidity para la compilación de contratos, ya que las nuevas versiones realizan automáticamente verificaciones de desbordamiento. Para los proyectos que utilizan versiones más antiguas de Solidity, se puede considerar la incorporación de la biblioteca SafeMath de OpenZeppelin para resolver problemas de desbordamiento de enteros.
Este evento destaca nuevamente la importancia de la auditoría de seguridad de contratos inteligentes, especialmente al manejar cálculos de grandes valores, donde se debe tener especial cuidado. Para los proyectos DeFi, las pruebas de seguridad exhaustivas y las revisiones de código periódicas son medidas clave para garantizar la seguridad de los fondos de los usuarios.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
14 me gusta
Recompensa
14
6
Compartir
Comentar
0/400
LonelyAnchorman
· hace18h
Otro viejo proyecto fracasó.
Ver originalesResponder0
WalletDivorcer
· hace18h
Esto es demasiado corto.
Ver originalesResponder0
HodlNerd
· hace18h
hablando estadísticamente, estos errores de desbordamiento se están volviendo predecibles... necesitamos un mejor análisis de teoría de juegos, la verdad
Poolz sufre un ataque de desbordamiento aritmético con pérdidas de 66.5 mil dólares en múltiples cadenas.
Poolz sufre un ataque de desbordamiento aritmético, con pérdidas de 665,000 dólares.
Recientemente, un ataque a la plataforma de cadena cruzada Poolz ha llamado la atención de la industria. Los atacantes aprovecharon una vulnerabilidad de desbordamiento aritmético en el contrato inteligente para robar con éxito una gran cantidad de tokens de múltiples redes, incluyendo Ethereum, BNB Chain y Polygon, causando pérdidas estimadas en alrededor de 665,000 dólares.
Según los datos en la cadena, el ataque ocurrió en la madrugada del 15 de marzo de 2023. Los atacantes obtuvieron varios tokens, incluidos MEE, ESNC, DON, ASW, KMON, POOLZ, entre otros. Actualmente, parte de los fondos robados ha sido cambiada a BNB, pero aún no se ha transferido a otras direcciones.
Los atacantes aprovecharon principalmente la vulnerabilidad de la función CreateMassPools en el contrato inteligente de Poolz. Esta función permite a los usuarios crear múltiples fondos de liquidez y proporcionar liquidez inicial. El problema radica en la función getArraySum, que se utiliza para calcular la cantidad de tokens entrantes. Los atacantes, mediante datos de entrada cuidadosamente elaborados, hicieron que el resultado acumulado excediera el rango del tipo uint256, lo que provocó que, tras el desbordamiento, el valor de retorno se convirtiera en 1.
Esta sobrecarga aritmética permite que un atacante solo necesite transferir 1 token para registrar una enorme liquidez que supera con creces la cantidad real en el sistema. Luego, el atacante pudo retirar fácilmente una gran cantidad de tokens no autorizados al invocar la función withdraw.
Para prevenir que eventos similares ocurran nuevamente, los expertos en seguridad recomiendan a los desarrolladores utilizar versiones más nuevas de Solidity para la compilación de contratos, ya que las nuevas versiones realizan automáticamente verificaciones de desbordamiento. Para los proyectos que utilizan versiones más antiguas de Solidity, se puede considerar la incorporación de la biblioteca SafeMath de OpenZeppelin para resolver problemas de desbordamiento de enteros.
Este evento destaca nuevamente la importancia de la auditoría de seguridad de contratos inteligentes, especialmente al manejar cálculos de grandes valores, donde se debe tener especial cuidado. Para los proyectos DeFi, las pruebas de seguridad exhaustivas y las revisiones de código periódicas son medidas clave para garantizar la seguridad de los fondos de los usuarios.