Poolz зазнав атаки з переповнення арифметики, збиток приблизно 665K доларів
Нещодавно інцидент з атакою на платформу Poolz привернув увагу криптовалютної спільноти. Зловмисники використали вразливість переповнення арифметичних операцій у смарт-контракті, успішно викравши криптоактиви на суму приблизно 66,5 тисяч доларів з декількох мереж, таких як Ethereum, BNB Chain та Polygon.
Згідно з даними з блокчейну, ця атака сталася 15 березня 2023 року і торкнулася кількох токенів, включаючи MEE, ESNC, DON, ASW, KMON, POOLZ та інші. Зловмисники використовували хитрі маніпуляції, експлуатуючи вразливість у функції CreateMassPools платформи Poolz.
Основна проблема атаки полягає у функції getArraySum. Ця функція повинна використовуватися для обчислення початкової ліквідності під час масового створення пулів користувачем, але через переповнення цілого числа зловмисник може створити пул з великою кількістю фальшивої ліквідності, лише ввівши дуже невелику кількість токенів. Після цього зловмисник витягнув ці помилково зафіксовані кількості токенів за допомогою функції withdraw.
Технічний аналіз показує, що зловмисники спочатку обміняли невелику кількість токенів MNZ через один децентралізований обмін. Потім вони викликали вразливу функцію CreateMassPools, передавши ретельно підготовлені параметри, які призвели до того, що масив _StartAmount перевищив максимальне значення uint256 при накопиченні, викликавши переповнення. Це змусило систему помилково вважати, що зловмисники надали велику ліквідність, тоді як насправді було перенесено лише 1 токен.
Щоб запобігти повторенню подібних проблем, експерти в галузі рекомендують розробникам використовувати більш нові версії мови програмування Solidity, які автоматично виконують перевірку переповнень під час компіляції. Для проектів, що використовують старі версії Solidity, рекомендовано впровадження бібліотеки SafeMath від OpenZeppelin для обробки цілочисельних обчислень, щоб уникнути ризику переповнення.
Ця подія ще раз підкреслює важливість безпеки аудиту смарт-контрактів. У міру розвитку екосистеми децентралізованих фінансів (DeFi) команди проектів повинні більше уваги приділяти безпеці коду, регулярно проводити перевірки безпеки та своєчасно усувати потенційні вразливості, щоб захистити активи користувачів.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Poolz зазнав атаки арифметичного переповнення, багато ланцюгів втратили 66,5 тисячі доларів США.
Poolz зазнав атаки з переповнення арифметики, збиток приблизно 665K доларів
Нещодавно інцидент з атакою на платформу Poolz привернув увагу криптовалютної спільноти. Зловмисники використали вразливість переповнення арифметичних операцій у смарт-контракті, успішно викравши криптоактиви на суму приблизно 66,5 тисяч доларів з декількох мереж, таких як Ethereum, BNB Chain та Polygon.
Згідно з даними з блокчейну, ця атака сталася 15 березня 2023 року і торкнулася кількох токенів, включаючи MEE, ESNC, DON, ASW, KMON, POOLZ та інші. Зловмисники використовували хитрі маніпуляції, експлуатуючи вразливість у функції CreateMassPools платформи Poolz.
Основна проблема атаки полягає у функції getArraySum. Ця функція повинна використовуватися для обчислення початкової ліквідності під час масового створення пулів користувачем, але через переповнення цілого числа зловмисник може створити пул з великою кількістю фальшивої ліквідності, лише ввівши дуже невелику кількість токенів. Після цього зловмисник витягнув ці помилково зафіксовані кількості токенів за допомогою функції withdraw.
Технічний аналіз показує, що зловмисники спочатку обміняли невелику кількість токенів MNZ через один децентралізований обмін. Потім вони викликали вразливу функцію CreateMassPools, передавши ретельно підготовлені параметри, які призвели до того, що масив _StartAmount перевищив максимальне значення uint256 при накопиченні, викликавши переповнення. Це змусило систему помилково вважати, що зловмисники надали велику ліквідність, тоді як насправді було перенесено лише 1 токен.
Щоб запобігти повторенню подібних проблем, експерти в галузі рекомендують розробникам використовувати більш нові версії мови програмування Solidity, які автоматично виконують перевірку переповнень під час компіляції. Для проектів, що використовують старі версії Solidity, рекомендовано впровадження бібліотеки SafeMath від OpenZeppelin для обробки цілочисельних обчислень, щоб уникнути ризику переповнення.
Ця подія ще раз підкреслює важливість безпеки аудиту смарт-контрактів. У міру розвитку екосистеми децентралізованих фінансів (DeFi) команди проектів повинні більше уваги приділяти безпеці коду, регулярно проводити перевірки безпеки та своєчасно усувати потенційні вразливості, щоб захистити активи користувачів.