Poolz mengalami serangan overflow aritmetika, mengalami kerugian sekitar 66,5 ribu dolar AS
Baru-baru ini, sebuah insiden keamanan yang serius terjadi di beberapa jaringan blockchain. Menurut pemantauan data blockchain, pada dini hari 15 Maret, proyek Poolz di jaringan Ethereum, BNB Smart Chain, dan Polygon diserang oleh hacker, mengakibatkan banyak token dicuri.
Serangan ini melibatkan berbagai token, termasuk MEE, ESNC, DON, ASW, KMON, POOLZ, dan lainnya. Total nilai token yang dicuri sekitar 665.000 dolar AS. Saat ini, penyerang telah menukarkan sebagian token yang dicuri menjadi BNB, tetapi belum memindahkan dana dari alamat serangan.
Analisis menunjukkan bahwa serangan kali ini terutama memanfaatkan celah overflow aritmatika dalam kontrak pintar Poolz. Penyerang dengan cerdik memanipulasi perhitungan jumlah token dengan memanggil fungsi CreateMassPools, sehingga mencapai tujuan untuk mendapatkan sejumlah besar token dengan jumlah token yang sangat sedikit.
Secara spesifik, penyerang pertama-tama menukarkan sejumlah kecil token MNZ di suatu bursa terdesentralisasi. Selanjutnya, penyerang memanggil fungsi CreateMassPools untuk membuat kumpulan likuiditas secara massal. Fungsi ini seharusnya digunakan oleh pengguna untuk membuat kumpulan secara massal dan menyediakan likuiditas awal.
Masalah terjadi pada fungsi getArraySum. Fungsi ini bertanggung jawab untuk menghitung jumlah likuiditas awal yang diberikan oleh pengguna. Penyerang mengirimkan array yang dibangun secara khusus, yang berisi dua angka besar. Ketika kedua angka ini dijumlahkan, karena batasan tipe uint256, terjadi overflow integer, yang menyebabkan hasil akhirnya menjadi 1.
Namun, kontrak menggunakan nilai besar dari input asli saat mencatat atribut kolam. Ini menyebabkan ketidakkonsistenan yang serius: penyerang sebenarnya hanya mentransfer 1 token, tetapi kontrak mencatat nilai yang sangat besar. Akhirnya, penyerang dengan mudah menarik sejumlah besar token dengan memanggil fungsi withdraw, menyelesaikan seluruh proses serangan.
Kejadian ini sekali lagi menyoroti pentingnya keamanan kontrak pintar. Untuk mencegah masalah serupa, disarankan agar pengembang menggunakan versi terbaru dari bahasa pemrograman Solidity, karena versi baru secara otomatis melakukan pemeriksaan overflow selama proses kompilasi. Untuk proyek yang menggunakan versi lama Solidity, dapat mempertimbangkan untuk mengadopsi pustaka SafeMath dari OpenZeppelin untuk mengatasi masalah overflow integer.
Peristiwa ini mengingatkan kita bahwa bahkan kesalahan pemrograman yang tampak kecil dapat menyebabkan kerugian ekonomi yang besar. Pihak proyek blockchain perlu lebih memperhatikan audit kode dan pengujian keamanan untuk memastikan keamanan aset pengguna.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
11 Suka
Hadiah
11
5
Bagikan
Komentar
0/400
ShibaOnTheRun
· 07-12 01:15
Sekali lagi, ada tangan hitam dari kerentanan overflow
Lihat AsliBalas0
GateUser-ccc36bc5
· 07-11 10:27
Satu proyek lagi doomed
Lihat AsliBalas0
GasFeeNightmare
· 07-09 09:48
dunia kripto satu hari setara dengan satu tahun di dunia manusia
Poolz diserang dengan serangan overflow aritmatika, kerugian multi-rantai sebesar 66,5 ribu dolar AS
Poolz mengalami serangan overflow aritmetika, mengalami kerugian sekitar 66,5 ribu dolar AS
Baru-baru ini, sebuah insiden keamanan yang serius terjadi di beberapa jaringan blockchain. Menurut pemantauan data blockchain, pada dini hari 15 Maret, proyek Poolz di jaringan Ethereum, BNB Smart Chain, dan Polygon diserang oleh hacker, mengakibatkan banyak token dicuri.
Serangan ini melibatkan berbagai token, termasuk MEE, ESNC, DON, ASW, KMON, POOLZ, dan lainnya. Total nilai token yang dicuri sekitar 665.000 dolar AS. Saat ini, penyerang telah menukarkan sebagian token yang dicuri menjadi BNB, tetapi belum memindahkan dana dari alamat serangan.
Analisis menunjukkan bahwa serangan kali ini terutama memanfaatkan celah overflow aritmatika dalam kontrak pintar Poolz. Penyerang dengan cerdik memanipulasi perhitungan jumlah token dengan memanggil fungsi CreateMassPools, sehingga mencapai tujuan untuk mendapatkan sejumlah besar token dengan jumlah token yang sangat sedikit.
Secara spesifik, penyerang pertama-tama menukarkan sejumlah kecil token MNZ di suatu bursa terdesentralisasi. Selanjutnya, penyerang memanggil fungsi CreateMassPools untuk membuat kumpulan likuiditas secara massal. Fungsi ini seharusnya digunakan oleh pengguna untuk membuat kumpulan secara massal dan menyediakan likuiditas awal.
Masalah terjadi pada fungsi getArraySum. Fungsi ini bertanggung jawab untuk menghitung jumlah likuiditas awal yang diberikan oleh pengguna. Penyerang mengirimkan array yang dibangun secara khusus, yang berisi dua angka besar. Ketika kedua angka ini dijumlahkan, karena batasan tipe uint256, terjadi overflow integer, yang menyebabkan hasil akhirnya menjadi 1.
Namun, kontrak menggunakan nilai besar dari input asli saat mencatat atribut kolam. Ini menyebabkan ketidakkonsistenan yang serius: penyerang sebenarnya hanya mentransfer 1 token, tetapi kontrak mencatat nilai yang sangat besar. Akhirnya, penyerang dengan mudah menarik sejumlah besar token dengan memanggil fungsi withdraw, menyelesaikan seluruh proses serangan.
Kejadian ini sekali lagi menyoroti pentingnya keamanan kontrak pintar. Untuk mencegah masalah serupa, disarankan agar pengembang menggunakan versi terbaru dari bahasa pemrograman Solidity, karena versi baru secara otomatis melakukan pemeriksaan overflow selama proses kompilasi. Untuk proyek yang menggunakan versi lama Solidity, dapat mempertimbangkan untuk mengadopsi pustaka SafeMath dari OpenZeppelin untuk mengatasi masalah overflow integer.
Peristiwa ini mengingatkan kita bahwa bahkan kesalahan pemrograman yang tampak kecil dapat menyebabkan kerugian ekonomi yang besar. Pihak proyek blockchain perlu lebih memperhatikan audit kode dan pengujian keamanan untuk memastikan keamanan aset pengguna.