Poolz subit une attaque par débordement arithmétique, avec des pertes atteignant 665 000 dollars.
Récemment, un incident d'attaque contre la plateforme inter-chaînes Poolz a suscité l'attention de l'industrie. Les attaquants ont exploité une vulnérabilité de débordement arithmétique dans le contrat intelligent, réussissant à voler une grande quantité de jetons de plusieurs réseaux tels qu'Ethereum, BNB Chain et Polygon, causant des pertes estimées à environ 665 000 dollars.
Selon les données sur la chaîne, l'attaque a eu lieu le 15 mars 2023 au petit matin. Les attaquants ont obtenu plusieurs types de tokens, y compris MEE, ESNC, DON, ASW, KMON, POOLZ, etc. Actuellement, une partie des fonds volés a été échangée contre des BNB, mais n'a pas encore été transférée vers d'autres adresses.
Les attaquants ont principalement exploité une vulnérabilité dans la fonction CreateMassPools du contrat intelligent Poolz. Cette fonction permet aux utilisateurs de créer des pools de liquidités en masse et de fournir une liquidité initiale. Le problème réside dans la fonction getArraySum, qui est utilisée pour calculer le montant des tokens entrants. Les attaquants ont utilisé des données d'entrée soigneusement construites, ce qui a entraîné un dépassement de capacité du résultat d'addition, faisant que la valeur de retour devient 1 après le débordement.
Cette débordement arithmétique permet à l'attaquant de n'avoir qu'à transférer 1 jeton pour enregistrer dans le système une liquidité énorme dépassant largement la quantité réelle. Ensuite, l'attaquant a facilement retiré une grande quantité de jetons non autorisés en appelant la fonction withdraw.
Pour prévenir la récurrence d'événements similaires, les experts en sécurité recommandent aux développeurs d'utiliser une version plus récente de Solidity pour la compilation des contrats, car les nouvelles versions effectuent automatiquement des vérifications de débordement. Pour les projets utilisant une version plus ancienne de Solidity, il est possible d'envisager l'intégration de la bibliothèque SafeMath d'OpenZeppelin pour résoudre les problèmes de débordement d'entier.
Cet événement souligne encore une fois l'importance de l'audit de sécurité des contrats intelligents, en particulier lorsqu'il s'agit de calculs de grande ampleur, où il faut faire preuve d'une prudence extrême. Pour les projets DeFi, des tests de sécurité complets et des révisions de code régulières sont des mesures clés pour garantir la sécurité des fonds des utilisateurs.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
14 J'aime
Récompense
14
6
Partager
Commentaire
0/400
LonelyAnchorman
· Il y a 18h
Un autre vieux projet est tombé à l'eau.
Voir l'originalRépondre0
WalletDivorcer
· Il y a 18h
C'est vraiment trop court.
Voir l'originalRépondre0
HodlNerd
· Il y a 18h
d'un point de vue statistique, ces bogues de débordement deviennent prévisibles... nous avons besoin d'une meilleure analyse de la théorie des jeux pour être honnête
Poolz subit une attaque par débordement arithmétique, perte de 66,5 milliers de dollars sur plusieurs chaînes.
Poolz subit une attaque par débordement arithmétique, avec des pertes atteignant 665 000 dollars.
Récemment, un incident d'attaque contre la plateforme inter-chaînes Poolz a suscité l'attention de l'industrie. Les attaquants ont exploité une vulnérabilité de débordement arithmétique dans le contrat intelligent, réussissant à voler une grande quantité de jetons de plusieurs réseaux tels qu'Ethereum, BNB Chain et Polygon, causant des pertes estimées à environ 665 000 dollars.
Selon les données sur la chaîne, l'attaque a eu lieu le 15 mars 2023 au petit matin. Les attaquants ont obtenu plusieurs types de tokens, y compris MEE, ESNC, DON, ASW, KMON, POOLZ, etc. Actuellement, une partie des fonds volés a été échangée contre des BNB, mais n'a pas encore été transférée vers d'autres adresses.
Les attaquants ont principalement exploité une vulnérabilité dans la fonction CreateMassPools du contrat intelligent Poolz. Cette fonction permet aux utilisateurs de créer des pools de liquidités en masse et de fournir une liquidité initiale. Le problème réside dans la fonction getArraySum, qui est utilisée pour calculer le montant des tokens entrants. Les attaquants ont utilisé des données d'entrée soigneusement construites, ce qui a entraîné un dépassement de capacité du résultat d'addition, faisant que la valeur de retour devient 1 après le débordement.
Cette débordement arithmétique permet à l'attaquant de n'avoir qu'à transférer 1 jeton pour enregistrer dans le système une liquidité énorme dépassant largement la quantité réelle. Ensuite, l'attaquant a facilement retiré une grande quantité de jetons non autorisés en appelant la fonction withdraw.
Pour prévenir la récurrence d'événements similaires, les experts en sécurité recommandent aux développeurs d'utiliser une version plus récente de Solidity pour la compilation des contrats, car les nouvelles versions effectuent automatiquement des vérifications de débordement. Pour les projets utilisant une version plus ancienne de Solidity, il est possible d'envisager l'intégration de la bibliothèque SafeMath d'OpenZeppelin pour résoudre les problèmes de débordement d'entier.
Cet événement souligne encore une fois l'importance de l'audit de sécurité des contrats intelligents, en particulier lorsqu'il s'agit de calculs de grande ampleur, où il faut faire preuve d'une prudence extrême. Pour les projets DeFi, des tests de sécurité complets et des révisions de code régulières sont des mesures clés pour garantir la sécurité des fonds des utilisateurs.