Poolz a été attaqué, avec une perte d'environ 665 000 dollars.
Récemment, la plateforme Poolz a subi un grave incident de sécurité, entraînant une perte d'environ 665 000 dollars. Cette attaque a impliqué plusieurs blockchains, y compris Ethereum, la BNB Smart Chain et Polygon.
Les attaquants ont exploité une vulnérabilité de débordement arithmétique dans le contrat Poolz. Plus précisément, le problème se situe dans la fonction getArraySum de la fonction CreateMassPools. Cette fonction ne parvient pas à gérer correctement les grands nombres lors du calcul du nombre de jetons, ce qui entraîne un débordement, permettant aux attaquants d'acquérir une grande quantité de jetons à un coût très faible.
Le processus d'attaque est à peu près le suivant :
L'attaquant a d'abord échangé une petite quantité de jetons MNZ sur un DEX.
Ensuite, la fonction CreateMassPools vulnérable a été appelée. Cette fonction était censée permettre aux utilisateurs de créer des pools de liquidité en masse et de fournir une liquidité initiale.
Par le biais de paramètres soigneusement construits, l'attaquant a déclenché un dépassement d'entier dans la fonction getArraySum. Cela a conduit le système à croire à tort que l'attaquant avait fourni une grande quantité de jetons, alors qu'en réalité, seule une très petite quantité a été transférée.
Enfin, l'attaquant a extrait des jetons qui ne lui appartenaient pas via la fonction withdraw, complétant ainsi l'attaque.
Cet événement implique plusieurs jetons, y compris MEE, ESNC, DON, ASW, KMON, POOLZ, etc. Les attaquants ont échangé une partie de leurs bénéfices contre des BNB, mais à la date du rapport, les fonds n'avaient pas encore été retirés.
Pour éviter des problèmes similaires, les experts en sécurité conseillent aux développeurs d'utiliser des versions plus récentes du langage de programmation Solidity, qui effectuent automatiquement une vérification de débordement lors de la compilation. Pour les projets utilisant une ancienne version de Solidity, il est possible d'envisager l'utilisation de la bibliothèque SafeMath d'OpenZeppelin pour prévenir les débordements d'entiers.
Cet événement souligne à nouveau l'importance de mener des audits de sécurité rigoureux dans le développement de contrats intelligents, en particulier lorsqu'il s'agit de fonctionnalités impliquant un volume important de calculs. Il rappelle également aux investisseurs et aux utilisateurs d'être prudents vis-à-vis des projets DeFi émergents et de rester constamment attentifs à la sécurité des projets.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
13 J'aime
Récompense
13
6
Reposter
Partager
Commentaire
0/400
ser_we_are_ngmi
· Il y a 6h
Encore une vulnérabilité de débordement, chute sans fin.
Voir l'originalRépondre0
BlockchainThinkTank
· Il y a 6h
D'après l'expérience, ce type de vulnérabilité par dépassement appartient aux problèmes de niveau de base de l'équipe de développement, il est conseillé de s'éloigner de ce type de projet.
Voir l'originalRépondre0
NFTRegretDiary
· Il y a 6h
Encore une vulnérabilité de débordement, les débutants en smart contracts doivent sortir du monde.
Poolz a été attaqué par des hackers, perte de 66,5 milliers de dollars sur plusieurs chaînes.
Poolz a été attaqué, avec une perte d'environ 665 000 dollars.
Récemment, la plateforme Poolz a subi un grave incident de sécurité, entraînant une perte d'environ 665 000 dollars. Cette attaque a impliqué plusieurs blockchains, y compris Ethereum, la BNB Smart Chain et Polygon.
Les attaquants ont exploité une vulnérabilité de débordement arithmétique dans le contrat Poolz. Plus précisément, le problème se situe dans la fonction getArraySum de la fonction CreateMassPools. Cette fonction ne parvient pas à gérer correctement les grands nombres lors du calcul du nombre de jetons, ce qui entraîne un débordement, permettant aux attaquants d'acquérir une grande quantité de jetons à un coût très faible.
Le processus d'attaque est à peu près le suivant :
L'attaquant a d'abord échangé une petite quantité de jetons MNZ sur un DEX.
Ensuite, la fonction CreateMassPools vulnérable a été appelée. Cette fonction était censée permettre aux utilisateurs de créer des pools de liquidité en masse et de fournir une liquidité initiale.
Par le biais de paramètres soigneusement construits, l'attaquant a déclenché un dépassement d'entier dans la fonction getArraySum. Cela a conduit le système à croire à tort que l'attaquant avait fourni une grande quantité de jetons, alors qu'en réalité, seule une très petite quantité a été transférée.
Enfin, l'attaquant a extrait des jetons qui ne lui appartenaient pas via la fonction withdraw, complétant ainsi l'attaque.
Cet événement implique plusieurs jetons, y compris MEE, ESNC, DON, ASW, KMON, POOLZ, etc. Les attaquants ont échangé une partie de leurs bénéfices contre des BNB, mais à la date du rapport, les fonds n'avaient pas encore été retirés.
Pour éviter des problèmes similaires, les experts en sécurité conseillent aux développeurs d'utiliser des versions plus récentes du langage de programmation Solidity, qui effectuent automatiquement une vérification de débordement lors de la compilation. Pour les projets utilisant une ancienne version de Solidity, il est possible d'envisager l'utilisation de la bibliothèque SafeMath d'OpenZeppelin pour prévenir les débordements d'entiers.
Cet événement souligne à nouveau l'importance de mener des audits de sécurité rigoureux dans le développement de contrats intelligents, en particulier lorsqu'il s'agit de fonctionnalités impliquant un volume important de calculs. Il rappelle également aux investisseurs et aux utilisateurs d'être prudents vis-à-vis des projets DeFi émergents et de rester constamment attentifs à la sécurité des projets.