Poolz subit une attaque par dépassement arithmétique, perte d'environ 665K USD
Récemment, un incident d'attaque contre la plateforme Poolz a attiré l'attention de la communauté des cryptomonnaies. L'attaquant a exploité une vulnérabilité de débordement arithmétique dans le contrat intelligent pour voler avec succès des actifs cryptographiques d'une valeur d'environ 665 000 dollars à partir de plusieurs réseaux tels qu'Ethereum, BNB Chain et Polygon.
Selon les données on-chain, cette attaque a eu lieu le 15 mars 2023 et a impliqué plusieurs jetons, y compris MEE, ESNC, DON, ASW, KMON, POOLZ, etc. L'attaquant a exploité une vulnérabilité dans la fonction CreateMassPools de la plateforme Poolz par des manœuvres habiles.
Le problème central de l'attaque réside dans la fonction getArraySum. Cette fonction était censée être utilisée pour calculer la liquidité initiale lors de la création en masse de pools par les utilisateurs, mais en raison d'un débordement d'entier, les attaquants n'avaient besoin de transférer qu'une très petite quantité de jetons pour créer des pools avec une liquidité fictive importante. Par la suite, les attaquants ont extrait ces quantités de jetons mal enregistrées via la fonction withdraw.
L'analyse technique montre que les attaquants ont d'abord échangé une petite quantité de jetons MNZ via un certain échange décentralisé. Ensuite, ils ont appelé la fonction CreateMassPools vulnérable, en passant des paramètres soigneusement conçus qui ont fait en sorte que le tableau _StartAmount dépasse la valeur maximale de uint256 lors de l'addition, entraînant un débordement. Cela a amené le système à croire que les attaquants avaient fourni une grande liquidité, alors qu'en réalité, ils n'avaient transféré qu'un seul jeton.
Pour éviter que ce genre de problème ne se reproduise, les experts du secteur conseillent aux développeurs d'utiliser des versions plus récentes du langage de programmation Solidity, qui effectuent automatiquement des vérifications de débordement lors de la compilation. Pour les projets utilisant une ancienne version de Solidity, il est recommandé d'intégrer la bibliothèque SafeMath d'OpenZeppelin pour gérer les opérations sur les entiers, afin d'éviter les risques de débordement.
Cet événement souligne à nouveau l'importance de l'audit de sécurité des contrats intelligents. Avec l'évolution continue de l'écosystème de la finance décentralisée (DeFi), les équipes de projet doivent accorder une plus grande attention à la sécurité du code, effectuer régulièrement des vérifications de sécurité et corriger rapidement les vulnérabilités potentielles pour protéger la sécurité des actifs des utilisateurs.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
16 J'aime
Récompense
16
3
Reposter
Partager
Commentaire
0/400
token_therapist
· 08-16 08:04
Jouer les vieux pièges de l'excès.
Voir l'originalRépondre0
faded_wojak.eth
· 08-16 07:40
Encore une condamné, sad
Voir l'originalRépondre0
LiquidatedTwice
· 08-16 07:38
Encore une fois, des vulnérabilités dans les smart contracts.
Poolz subit une attaque par débordement arithmétique, perte de 665 000 dollars sur plusieurs chaînes.
Poolz subit une attaque par dépassement arithmétique, perte d'environ 665K USD
Récemment, un incident d'attaque contre la plateforme Poolz a attiré l'attention de la communauté des cryptomonnaies. L'attaquant a exploité une vulnérabilité de débordement arithmétique dans le contrat intelligent pour voler avec succès des actifs cryptographiques d'une valeur d'environ 665 000 dollars à partir de plusieurs réseaux tels qu'Ethereum, BNB Chain et Polygon.
Selon les données on-chain, cette attaque a eu lieu le 15 mars 2023 et a impliqué plusieurs jetons, y compris MEE, ESNC, DON, ASW, KMON, POOLZ, etc. L'attaquant a exploité une vulnérabilité dans la fonction CreateMassPools de la plateforme Poolz par des manœuvres habiles.
Le problème central de l'attaque réside dans la fonction getArraySum. Cette fonction était censée être utilisée pour calculer la liquidité initiale lors de la création en masse de pools par les utilisateurs, mais en raison d'un débordement d'entier, les attaquants n'avaient besoin de transférer qu'une très petite quantité de jetons pour créer des pools avec une liquidité fictive importante. Par la suite, les attaquants ont extrait ces quantités de jetons mal enregistrées via la fonction withdraw.
L'analyse technique montre que les attaquants ont d'abord échangé une petite quantité de jetons MNZ via un certain échange décentralisé. Ensuite, ils ont appelé la fonction CreateMassPools vulnérable, en passant des paramètres soigneusement conçus qui ont fait en sorte que le tableau _StartAmount dépasse la valeur maximale de uint256 lors de l'addition, entraînant un débordement. Cela a amené le système à croire que les attaquants avaient fourni une grande liquidité, alors qu'en réalité, ils n'avaient transféré qu'un seul jeton.
Pour éviter que ce genre de problème ne se reproduise, les experts du secteur conseillent aux développeurs d'utiliser des versions plus récentes du langage de programmation Solidity, qui effectuent automatiquement des vérifications de débordement lors de la compilation. Pour les projets utilisant une ancienne version de Solidity, il est recommandé d'intégrer la bibliothèque SafeMath d'OpenZeppelin pour gérer les opérations sur les entiers, afin d'éviter les risques de débordement.
Cet événement souligne à nouveau l'importance de l'audit de sécurité des contrats intelligents. Avec l'évolution continue de l'écosystème de la finance décentralisée (DeFi), les équipes de projet doivent accorder une plus grande attention à la sécurité du code, effectuer régulièrement des vérifications de sécurité et corriger rapidement les vulnérabilités potentielles pour protéger la sécurité des actifs des utilisateurs.