Poolz遭算術溢出攻擊 多鏈損失66.5萬美元

robot
摘要生成中

Poolz遭遇算術溢出攻擊,損失約66.5萬美元

近日,一起嚴重的安全事件發生在多個區塊鏈網路上。據區塊鏈數據監測顯示,3月15日凌晨,以太坊、BNB智能鏈和Polygon網路上的Poolz項目遭到黑客攻擊,導致大量代幣被盜。

此次攻擊涉及多種代幣,包括MEE、ESNC、DON、ASW、KMON、POOLZ等。被盜代幣總價值約爲66.5萬美元。目前,攻擊者已將部分被盜代幣兌換成BNB,但尚未將資金轉移出攻擊地址。

Poolz因算數溢出問題遭受攻擊,損失約665K美元!

分析顯示,此次攻擊主要利用了Poolz智能合約中的一個算術溢出漏洞。攻擊者通過調用CreateMassPools函數,巧妙地操縱了代幣數量計算,實現了以極少量代幣獲取大量代幣的目的。

具體來說,攻擊者首先在某去中心化交易所兌換了少量MNZ代幣。隨後,攻擊者調用了CreateMassPools函數來批量創建流動性池。這個函數本應用於用戶批量創建池子並提供初始流動性。

Poolz因算數溢出問題遭受攻擊,損失約665K美元!

問題出在getArraySum函數上。這個函數負責計算用戶提供的初始流動性數量。攻擊者傳入了一個特殊構造的數組,其中包含兩個巨大的數字。當這兩個數字相加時,由於uint256類型的限制,發生了整數溢出,導致最終結果變爲1。

然而,合約在記錄池子屬性時使用的是原始輸入的大數值。這就造成了一個嚴重的不一致:攻擊者實際只轉入了1個代幣,但合約卻記錄了一個巨大的數值。最後,攻擊者通過調用withdraw函數輕鬆提取了大量代幣,完成了整個攻擊過程。

Poolz因算數溢出問題遭受攻擊,損失約665K美元!

這起事件再次凸顯了智能合約安全的重要性。爲防止類似問題,建議開發者使用較新版本的Solidity編程語言,因爲新版本在編譯過程中會自動進行溢出檢查。對於使用舊版Solidity的項目,可以考慮引入OpenZeppelin的SafeMath庫來解決整數溢出問題。

此事件提醒我們,即使是看似微小的編程疏忽也可能導致巨大的經濟損失。區塊鏈項目方需要更加重視代碼審計和安全測試,以確保用戶資產的安全。

Poolz因算數溢出問題遭受攻擊,損失約665K美元!

查看原文
此頁面可能包含第三方內容,僅供參考(非陳述或保證),不應被視為 Gate 認可其觀點表述,也不得被視為財務或專業建議。詳見聲明
  • 讚賞
  • 5
  • 分享
留言
0/400
ShibaOnTheRunvip
· 07-12 01:15
又是溢出漏洞黑手
回復0
GateUser-ccc36bc5vip
· 07-11 10:27
又一个项目凉了
回復0
GasFee_Nightmarevip
· 07-09 09:48
币圈一日等于人间一年
回復0
熊市苦修僧vip
· 07-09 09:42
割韭菜又开始了
回復0
notSatoshi1971vip
· 07-09 09:38
无人审计害死人
回復0
交易,隨時隨地
qrCode
掃碼下載 Gate APP
社群列表
繁體中文
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)