Poolz подвергся атаке из-за уязвимости переполнения арифметики, убытки составили 665 тысяч долларов
Недавно произошел инцидент с атакой на кросс-чейн платформу Poolz, который привлек внимание отрасли. Злоумышленники использовали уязвимость арифметического переполнения в смарт-контракте и успешно украли большое количество токенов из таких сетей, как Ethereum, BNB Chain и Polygon, что привело к ущербу, оцененному примерно в 665 тысяч долларов.
Согласно данным блокчейна, эта атака произошла 15 марта 2023 года в ранние утренние часы. Злоумышленники получили доступ к различным токенам, включая MEE, ESNC, DON, ASW, KMON, POOLZ и другие. В настоящее время часть украденных средств была обменяна на BNB, но еще не была переведена на другие адреса.
Злоумышленники в основном использовали уязвимость функции CreateMassPools в смарт-контракте Poolz. Эта функция позволяет пользователям массово создавать ликвидные пулы и предоставлять начальную ликвидность. Проблема заключается в функции getArraySum, которая используется для расчета количества токенов, переводимых в пул. Злоумышленник, используя тщательно составленные входные данные, заставил сумму превышать диапазон типа uint256, что привело к переполнению и возврату значения 1.
Этот арифметический переполнение позволяет злоумышленнику всего лишь перевести 1 токен, чтобы зафиксировать в системе огромную ликвидность, значительно превышающую фактическое количество. Затем злоумышленник с легкостью извлек большое количество несанкционированных токенов, вызвав функцию withdraw.
Чтобы предотвратить повторение подобных инцидентов, эксперты по безопасности рекомендуют разработчикам использовать более новые версии Solidity для компиляции контрактов, так как новые версии автоматически выполняют проверку на переполнение. Для проектов, использующих более старые версии Solidity, можно рассмотреть возможность внедрения библиотеки SafeMath от OpenZeppelin для решения проблемы переполнения целых чисел.
Это событие еще раз подчеркивает важность аудита безопасности смарт-контрактов, особенно при работе с большими числовыми вычислениями, где нужно быть особенно осторожным. Для проектов DeFi всестороннее тестирование безопасности и регулярный аудит кода являются ключевыми мерами для обеспечения безопасности средств пользователей.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
14 Лайков
Награда
14
6
Поделиться
комментарий
0/400
LonelyAnchorman
· 18ч назад
Еще один старый проект провалился.
Посмотреть ОригиналОтветить0
WalletDivorcer
· 18ч назад
Это слишком коротко.
Посмотреть ОригиналОтветить0
HodlNerd
· 18ч назад
статистически говоря, эти переполнения становятся предсказуемыми... нужна лучшая теория игр, если честно
Poolz подвергся атаке с арифметическим переполнением, убытки многосетевых операций составили 66,5 тысячи долларов США.
Poolz подвергся атаке из-за уязвимости переполнения арифметики, убытки составили 665 тысяч долларов
Недавно произошел инцидент с атакой на кросс-чейн платформу Poolz, который привлек внимание отрасли. Злоумышленники использовали уязвимость арифметического переполнения в смарт-контракте и успешно украли большое количество токенов из таких сетей, как Ethereum, BNB Chain и Polygon, что привело к ущербу, оцененному примерно в 665 тысяч долларов.
Согласно данным блокчейна, эта атака произошла 15 марта 2023 года в ранние утренние часы. Злоумышленники получили доступ к различным токенам, включая MEE, ESNC, DON, ASW, KMON, POOLZ и другие. В настоящее время часть украденных средств была обменяна на BNB, но еще не была переведена на другие адреса.
Злоумышленники в основном использовали уязвимость функции CreateMassPools в смарт-контракте Poolz. Эта функция позволяет пользователям массово создавать ликвидные пулы и предоставлять начальную ликвидность. Проблема заключается в функции getArraySum, которая используется для расчета количества токенов, переводимых в пул. Злоумышленник, используя тщательно составленные входные данные, заставил сумму превышать диапазон типа uint256, что привело к переполнению и возврату значения 1.
Этот арифметический переполнение позволяет злоумышленнику всего лишь перевести 1 токен, чтобы зафиксировать в системе огромную ликвидность, значительно превышающую фактическое количество. Затем злоумышленник с легкостью извлек большое количество несанкционированных токенов, вызвав функцию withdraw.
Чтобы предотвратить повторение подобных инцидентов, эксперты по безопасности рекомендуют разработчикам использовать более новые версии Solidity для компиляции контрактов, так как новые версии автоматически выполняют проверку на переполнение. Для проектов, использующих более старые версии Solidity, можно рассмотреть возможность внедрения библиотеки SafeMath от OpenZeppelin для решения проблемы переполнения целых чисел.
Это событие еще раз подчеркивает важность аудита безопасности смарт-контрактов, особенно при работе с большими числовыми вычислениями, где нужно быть особенно осторожным. Для проектов DeFi всестороннее тестирование безопасности и регулярный аудит кода являются ключевыми мерами для обеспечения безопасности средств пользователей.