Poolz sofre um ataque de overflow aritmético, com perdas de cerca de 66,5 mil dólares
Recentemente, um grave incidente de segurança ocorreu em várias redes de blockchain. De acordo com os dados de monitoramento da blockchain, na madrugada de 15 de março, o projeto Poolz nas redes Ethereum, BNB Smart Chain e Polygon foi alvo de um ataque hacker, resultando no roubo de uma grande quantidade de tokens.
Este ataque envolveu vários tokens, incluindo MEE, ESNC, DON, ASW, KMON, POOLZ, entre outros. O valor total dos tokens roubados é de aproximadamente 665 mil dólares. Neste momento, os atacantes já trocaram parte dos tokens roubados por BNB, mas ainda não transferiram os fundos para fora do endereço do ataque.
A análise mostra que o ataque desta vez explorou uma vulnerabilidade de estouro aritmético no contrato inteligente da Poolz. O atacante manipulou habilidosamente o cálculo da quantidade de tokens chamando a função CreateMassPools, conseguindo assim obter uma grande quantidade de tokens com uma quantidade muito pequena.
Especificamente, o atacante primeiro trocou uma pequena quantidade de tokens MNZ em uma determinada exchange descentralizada. Em seguida, o atacante chamou a função CreateMassPools para criar em massa pools de liquidez. Esta função deveria ser usada pelos usuários para criar pools em massa e fornecer liquidez inicial.
O problema está na função getArraySum. Esta função é responsável por calcular a quantidade de liquidez inicial fornecida pelo usuário. O atacante passou um array especialmente construído, contendo dois números enormes. Quando esses dois números foram somados, devido às limitações do tipo uint256, ocorreu um estouro de inteiro, resultando no valor final sendo 1.
No entanto, o contrato usou o valor original grande da entrada ao registrar as propriedades do pool. Isso causou uma grave inconsistência: o atacante realmente transferiu apenas 1 token, mas o contrato registrou um valor enorme. Por fim, o atacante conseguiu retirar facilmente uma grande quantidade de tokens ao chamar a função withdraw, completando todo o processo de ataque.
Este incidente destaca novamente a importância da segurança dos contratos inteligentes. Para evitar problemas semelhantes, recomenda-se que os desenvolvedores utilizem versões mais recentes da linguagem de programação Solidity, uma vez que as novas versões realizam automaticamente verificações de estouro durante o processo de compilação. Para projetos que utilizam versões antigas do Solidity, pode-se considerar a introdução da biblioteca SafeMath da OpenZeppelin para resolver problemas de estouro de inteiros.
Este evento nos lembra que mesmo um pequeno descuido na programação pode levar a enormes perdas econômicas. As equipes de projetos de blockchain precisam dar mais atenção à auditoria de código e aos testes de segurança para garantir a segurança dos ativos dos usuários.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
11 gostos
Recompensa
11
5
Partilhar
Comentar
0/400
ShibaOnTheRun
· 07-12 01:15
Mais uma vez, os manipuladores da vulnerabilidade de overflow.
Ver originalResponder0
GateUser-ccc36bc5
· 07-11 10:27
Outro projeto condenado
Ver originalResponder0
GasFeeNightmare
· 07-09 09:48
No mundo crypto, um dia é igual a um ano na Terra.
Poolz sofre ataque de estouro aritmético, perda de 66,5 mil dólares em várias cadeias
Poolz sofre um ataque de overflow aritmético, com perdas de cerca de 66,5 mil dólares
Recentemente, um grave incidente de segurança ocorreu em várias redes de blockchain. De acordo com os dados de monitoramento da blockchain, na madrugada de 15 de março, o projeto Poolz nas redes Ethereum, BNB Smart Chain e Polygon foi alvo de um ataque hacker, resultando no roubo de uma grande quantidade de tokens.
Este ataque envolveu vários tokens, incluindo MEE, ESNC, DON, ASW, KMON, POOLZ, entre outros. O valor total dos tokens roubados é de aproximadamente 665 mil dólares. Neste momento, os atacantes já trocaram parte dos tokens roubados por BNB, mas ainda não transferiram os fundos para fora do endereço do ataque.
A análise mostra que o ataque desta vez explorou uma vulnerabilidade de estouro aritmético no contrato inteligente da Poolz. O atacante manipulou habilidosamente o cálculo da quantidade de tokens chamando a função CreateMassPools, conseguindo assim obter uma grande quantidade de tokens com uma quantidade muito pequena.
Especificamente, o atacante primeiro trocou uma pequena quantidade de tokens MNZ em uma determinada exchange descentralizada. Em seguida, o atacante chamou a função CreateMassPools para criar em massa pools de liquidez. Esta função deveria ser usada pelos usuários para criar pools em massa e fornecer liquidez inicial.
O problema está na função getArraySum. Esta função é responsável por calcular a quantidade de liquidez inicial fornecida pelo usuário. O atacante passou um array especialmente construído, contendo dois números enormes. Quando esses dois números foram somados, devido às limitações do tipo uint256, ocorreu um estouro de inteiro, resultando no valor final sendo 1.
No entanto, o contrato usou o valor original grande da entrada ao registrar as propriedades do pool. Isso causou uma grave inconsistência: o atacante realmente transferiu apenas 1 token, mas o contrato registrou um valor enorme. Por fim, o atacante conseguiu retirar facilmente uma grande quantidade de tokens ao chamar a função withdraw, completando todo o processo de ataque.
Este incidente destaca novamente a importância da segurança dos contratos inteligentes. Para evitar problemas semelhantes, recomenda-se que os desenvolvedores utilizem versões mais recentes da linguagem de programação Solidity, uma vez que as novas versões realizam automaticamente verificações de estouro durante o processo de compilação. Para projetos que utilizam versões antigas do Solidity, pode-se considerar a introdução da biblioteca SafeMath da OpenZeppelin para resolver problemas de estouro de inteiros.
Este evento nos lembra que mesmo um pequeno descuido na programação pode levar a enormes perdas econômicas. As equipes de projetos de blockchain precisam dar mais atenção à auditoria de código e aos testes de segurança para garantir a segurança dos ativos dos usuários.