Poolz sufrió un ataque, con pérdidas de aproximadamente 66.5 mil dólares.
Recientemente, la plataforma Poolz sufrió un grave incidente de seguridad que resultó en pérdidas de aproximadamente 665,000 dólares. Este ataque involucró múltiples blockchains, incluyendo Ethereum, la Binance Smart Chain y Polygon.
Los atacantes aprovecharon una vulnerabilidad de desbordamiento aritmético en el contrato de Poolz. En concreto, el problema se presenta en la función getArraySum de la función CreateMassPools. Esta función no maneja correctamente los números grandes al calcular la cantidad de tokens, lo que provoca un desbordamiento y permite a los atacantes obtener una gran cantidad de tokens a un costo muy bajo.
El proceso de ataque es aproximadamente el siguiente:
El atacante primero intercambió una pequeña cantidad de tokens MNZ en un DEX.
Luego se llamó a la función CreateMassPools con vulnerabilidades. Esta función debería permitir a los usuarios crear múltiples grupos de liquidez y proporcionar liquidez inicial.
A través de parámetros cuidadosamente elaborados, el atacante desencadenó un desbordamiento de enteros en la función getArraySum. Esto llevó al sistema a creer erróneamente que el atacante había proporcionado una gran cantidad de tokens, cuando en realidad solo se transfirió una cantidad muy pequeña.
Finalmente, el atacante extrajo tokens que no le pertenecían a través de la función withdraw, completando así el ataque.
Este incidente involucra múltiples tokens, incluyendo MEE, ESNC, DON, ASW, KMON, POOLZ, entre otros. Los atacantes han intercambiado parte de las ganancias por BNB, pero hasta el momento del informe no han retirado los fondos.
Para prevenir problemas similares, los expertos en seguridad recomiendan a los desarrolladores que utilicen versiones más recientes del lenguaje de programación Solidity, que realizan automáticamente verificaciones de desbordamiento durante la compilación. Para los proyectos que utilizan versiones antiguas de Solidity, se puede considerar el uso de la biblioteca SafeMath de OpenZeppelin para prevenir el desbordamiento de enteros.
Este evento subraya nuevamente la importancia de realizar auditorías de seguridad rigurosas en el desarrollo de contratos inteligentes, especialmente al tratar funciones que implican cálculos complejos. También recuerda a los inversores y usuarios que deben ser cautelosos con los proyectos emergentes de DeFi y estar siempre atentos al estado de seguridad de los proyectos.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
13 me gusta
Recompensa
13
6
Republicar
Compartir
Comentar
0/400
ser_we_are_ngmi
· hace6h
Otra vez es una vulnerabilidad de desbordamiento, la caída no tiene fin.
Ver originalesResponder0
BlockchainThinkTank
· hace6h
Basado en la experiencia, este tipo de vulnerabilidades de desbordamiento pertenecen a problemas de nivel básico del equipo de desarrollo, se recomienda a todos que se mantengan alejados de este tipo de proyectos.
Ver originalesResponder0
NFTRegretDiary
· hace6h
Otra vulnerabilidad de desbordamiento, los novatos en contratos inteligentes deberían salir del campo.
Poolz fue atacado por un Hacker, pérdida de 66.5 mil dólares en múltiples cadenas.
Poolz sufrió un ataque, con pérdidas de aproximadamente 66.5 mil dólares.
Recientemente, la plataforma Poolz sufrió un grave incidente de seguridad que resultó en pérdidas de aproximadamente 665,000 dólares. Este ataque involucró múltiples blockchains, incluyendo Ethereum, la Binance Smart Chain y Polygon.
Los atacantes aprovecharon una vulnerabilidad de desbordamiento aritmético en el contrato de Poolz. En concreto, el problema se presenta en la función getArraySum de la función CreateMassPools. Esta función no maneja correctamente los números grandes al calcular la cantidad de tokens, lo que provoca un desbordamiento y permite a los atacantes obtener una gran cantidad de tokens a un costo muy bajo.
El proceso de ataque es aproximadamente el siguiente:
El atacante primero intercambió una pequeña cantidad de tokens MNZ en un DEX.
Luego se llamó a la función CreateMassPools con vulnerabilidades. Esta función debería permitir a los usuarios crear múltiples grupos de liquidez y proporcionar liquidez inicial.
A través de parámetros cuidadosamente elaborados, el atacante desencadenó un desbordamiento de enteros en la función getArraySum. Esto llevó al sistema a creer erróneamente que el atacante había proporcionado una gran cantidad de tokens, cuando en realidad solo se transfirió una cantidad muy pequeña.
Finalmente, el atacante extrajo tokens que no le pertenecían a través de la función withdraw, completando así el ataque.
Este incidente involucra múltiples tokens, incluyendo MEE, ESNC, DON, ASW, KMON, POOLZ, entre otros. Los atacantes han intercambiado parte de las ganancias por BNB, pero hasta el momento del informe no han retirado los fondos.
Para prevenir problemas similares, los expertos en seguridad recomiendan a los desarrolladores que utilicen versiones más recientes del lenguaje de programación Solidity, que realizan automáticamente verificaciones de desbordamiento durante la compilación. Para los proyectos que utilizan versiones antiguas de Solidity, se puede considerar el uso de la biblioteca SafeMath de OpenZeppelin para prevenir el desbordamiento de enteros.
Este evento subraya nuevamente la importancia de realizar auditorías de seguridad rigurosas en el desarrollo de contratos inteligentes, especialmente al tratar funciones que implican cálculos complejos. También recuerda a los inversores y usuarios que deben ser cautelosos con los proyectos emergentes de DeFi y estar siempre atentos al estado de seguridad de los proyectos.