Poolz зазнав атаки, збитки приблизно 665 тисяч доларів
Нещодавно платформа Poolz зазнала серйозної безпекової події, що призвела до збитків приблизно в 66,5 тисячі доларів США. Ця атака стосувалася кількох блокчейнів, включаючи Ethereum, BNB Smart Chain та Polygon.
Зловмисники скористалися вразливістю переповнення арифметики в контракті Poolz. Зокрема, проблема виникає в функції getArraySum функції CreateMassPools. Ця функція не змогла правильно обробити великі числа під час обчислення кількості токенів, що призвело до переповнення і дозволило зловмисникам отримати велику кількість токенів за дуже низькою ціною.
Процес атаки приблизно такий:
Зловмисник спочатку обміняв невелику кількість токенів MNZ на певному DEX.
Потім було викликано вразливу функцію CreateMassPools. Ця функція повинна була дозволити користувачам масово створювати ліквідні пулі та надавати початкову ліквідність.
Завдяки ретельно продуманим параметрам, зловмисник викликав переповнення цілого числа у функції getArraySum. Це призвело до того, що система помилково вважала, що зловмисник надав велику кількість токенів, тоді як насправді було переведено лише дуже мало.
Нарешті, атакуючий через функцію withdraw витягнув токени, які йому не належали, завершивши атаку.
Ця подія стосується кількох токенів, включаючи MEE, ESNC, DON, ASW, KMON, POOLZ тощо. Зловмисники вже частково обміняли прибуток на BNB, але на момент звіту кошти ще не були виведені.
Щоб уникнути подібних проблем, експерти з безпеки радять розробникам використовувати новіші версії мови програмування Solidity, які автоматично виконують перевірку на переповнення під час компіляції. Для проектів, що використовують старі версії Solidity, можна розглянути можливість використання бібліотеки SafeMath від OpenZeppelin для запобігання переповненню цілих чисел.
Ця подія знову підкреслює важливість суворого проведення безпекового аудиту при розробці смарт-контрактів, особливо коли йдеться про функції, що потребують великої обчислювальної потужності. Вона також нагадує інвесторам та користувачам бути обережними щодо нових DeFi проектів і завжди стежити за безпековим станом проектів.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
13 лайків
Нагородити
13
6
Репост
Поділіться
Прокоментувати
0/400
ser_we_are_ngmi
· 6год тому
Знову вразливість переповнення, падіння не припиняється.
Переглянути оригіналвідповісти на0
BlockchainThinkTank
· 6год тому
На основі досвіду, такі вразливості переповнення відносяться до базового рівня проблем команди розробників, рекомендується уникати таких проектів.
Переглянути оригіналвідповісти на0
NFTRegretDiary
· 6год тому
Знову переповнення вразливості смартконтракти новачків вилетять з ринку
Poolz зазнав атаки хакерів, багато ланцюгів понесли втрати в 665 тисяч доларів США
Poolz зазнав атаки, збитки приблизно 665 тисяч доларів
Нещодавно платформа Poolz зазнала серйозної безпекової події, що призвела до збитків приблизно в 66,5 тисячі доларів США. Ця атака стосувалася кількох блокчейнів, включаючи Ethereum, BNB Smart Chain та Polygon.
Зловмисники скористалися вразливістю переповнення арифметики в контракті Poolz. Зокрема, проблема виникає в функції getArraySum функції CreateMassPools. Ця функція не змогла правильно обробити великі числа під час обчислення кількості токенів, що призвело до переповнення і дозволило зловмисникам отримати велику кількість токенів за дуже низькою ціною.
Процес атаки приблизно такий:
Зловмисник спочатку обміняв невелику кількість токенів MNZ на певному DEX.
Потім було викликано вразливу функцію CreateMassPools. Ця функція повинна була дозволити користувачам масово створювати ліквідні пулі та надавати початкову ліквідність.
Завдяки ретельно продуманим параметрам, зловмисник викликав переповнення цілого числа у функції getArraySum. Це призвело до того, що система помилково вважала, що зловмисник надав велику кількість токенів, тоді як насправді було переведено лише дуже мало.
Нарешті, атакуючий через функцію withdraw витягнув токени, які йому не належали, завершивши атаку.
Ця подія стосується кількох токенів, включаючи MEE, ESNC, DON, ASW, KMON, POOLZ тощо. Зловмисники вже частково обміняли прибуток на BNB, але на момент звіту кошти ще не були виведені.
Щоб уникнути подібних проблем, експерти з безпеки радять розробникам використовувати новіші версії мови програмування Solidity, які автоматично виконують перевірку на переповнення під час компіляції. Для проектів, що використовують старі версії Solidity, можна розглянути можливість використання бібліотеки SafeMath від OpenZeppelin для запобігання переповненню цілих чисел.
Ця подія знову підкреслює важливість суворого проведення безпекового аудиту при розробці смарт-контрактів, особливо коли йдеться про функції, що потребують великої обчислювальної потужності. Вона також нагадує інвесторам та користувачам бути обережними щодо нових DeFi проектів і завжди стежити за безпековим станом проектів.