Poolz sofreu um ataque, com perdas de cerca de 66,5 mil dólares
Recentemente, a plataforma Poolz sofreu um sério incidente de segurança, resultando em perdas de aproximadamente 665 mil dólares. Este ataque envolveu várias blockchains, incluindo Ethereum, BNB Smart Chain e Polygon.
Os atacantes exploraram uma vulnerabilidade de estouro aritmético no contrato da Poolz. Especificamente, o problema ocorreu na função getArraySum da função CreateMassPools. Esta função não conseguiu lidar corretamente com números grandes ao calcular a quantidade de tokens, resultando em um estouro, permitindo que os atacantes obtivessem uma grande quantidade de tokens a um custo extremamente baixo.
O processo de ataque é aproximadamente o seguinte:
O atacante primeiro trocou uma pequena quantidade de tokens MNZ em um DEX.
Em seguida, foi chamada a função CreateMassPools com vulnerabilidades. Essa função deveria permitir que os usuários criassem pools de liquidez em massa e fornecessem liquidez inicial.
Através de parâmetros cuidadosamente elaborados, o atacante ativou a sobrecarga de inteiros na função getArraySum. Isso fez com que o sistema acreditasse erroneamente que o atacante tinha fornecido uma grande quantidade de tokens, quando na verdade apenas uma quantidade muito pequena foi transferida.
Por fim, o atacante retirou tokens que não lhe pertenciam através da função withdraw, completando o ataque.
Este incidente envolve vários tokens, incluindo MEE, ESNC, DON, ASW, KMON, POOLZ, entre outros. Os atacantes já converteram parte dos lucros para BNB, mas até o momento do relatório, ainda não transferiram os fundos.
Para evitar problemas semelhantes, os especialistas em segurança recomendam que os desenvolvedores utilizem versões mais recentes da linguagem de programação Solidity, que realizam automaticamente verificações de estouro durante a compilação. Para projetos que utilizam versões antigas do Solidity, pode-se considerar o uso da biblioteca SafeMath da OpenZeppelin para prevenir estouros inteiros.
Este evento sublinha novamente a importância de realizar auditorias de segurança rigorosas no desenvolvimento de contratos inteligentes, especialmente ao lidar com funções que envolvem grandes cálculos. Também lembra os investidores e usuários a serem cautelosos com os projetos DeFi emergentes e a estarem sempre atentos à segurança dos projetos.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
13 gostos
Recompensa
13
6
Republicar
Partilhar
Comentar
0/400
ser_we_are_ngmi
· 9h atrás
Mais uma vulnerabilidade de overflow, a cair sem parar.
Ver originalResponder0
BlockchainThinkTank
· 9h atrás
Com base na experiência, este tipo de vulnerabilidades de overflow pertencem a problemas de nível básico da equipe de desenvolvimento, recomenda-se que todos evitem este tipo de projetos.
Ver originalResponder0
NFTRegretDiary
· 9h atrás
Mais uma vulnerabilidade de overflow, contratos inteligentes, iniciantes saiam do mundo.
Poolz foi atacada por hackers, com uma perda de 66,5 mil dólares em várias cadeias.
Poolz sofreu um ataque, com perdas de cerca de 66,5 mil dólares
Recentemente, a plataforma Poolz sofreu um sério incidente de segurança, resultando em perdas de aproximadamente 665 mil dólares. Este ataque envolveu várias blockchains, incluindo Ethereum, BNB Smart Chain e Polygon.
Os atacantes exploraram uma vulnerabilidade de estouro aritmético no contrato da Poolz. Especificamente, o problema ocorreu na função getArraySum da função CreateMassPools. Esta função não conseguiu lidar corretamente com números grandes ao calcular a quantidade de tokens, resultando em um estouro, permitindo que os atacantes obtivessem uma grande quantidade de tokens a um custo extremamente baixo.
O processo de ataque é aproximadamente o seguinte:
O atacante primeiro trocou uma pequena quantidade de tokens MNZ em um DEX.
Em seguida, foi chamada a função CreateMassPools com vulnerabilidades. Essa função deveria permitir que os usuários criassem pools de liquidez em massa e fornecessem liquidez inicial.
Através de parâmetros cuidadosamente elaborados, o atacante ativou a sobrecarga de inteiros na função getArraySum. Isso fez com que o sistema acreditasse erroneamente que o atacante tinha fornecido uma grande quantidade de tokens, quando na verdade apenas uma quantidade muito pequena foi transferida.
Por fim, o atacante retirou tokens que não lhe pertenciam através da função withdraw, completando o ataque.
Este incidente envolve vários tokens, incluindo MEE, ESNC, DON, ASW, KMON, POOLZ, entre outros. Os atacantes já converteram parte dos lucros para BNB, mas até o momento do relatório, ainda não transferiram os fundos.
Para evitar problemas semelhantes, os especialistas em segurança recomendam que os desenvolvedores utilizem versões mais recentes da linguagem de programação Solidity, que realizam automaticamente verificações de estouro durante a compilação. Para projetos que utilizam versões antigas do Solidity, pode-se considerar o uso da biblioteca SafeMath da OpenZeppelin para prevenir estouros inteiros.
Este evento sublinha novamente a importância de realizar auditorias de segurança rigorosas no desenvolvimento de contratos inteligentes, especialmente ao lidar com funções que envolvem grandes cálculos. Também lembra os investidores e usuários a serem cautelosos com os projetos DeFi emergentes e a estarem sempre atentos à segurança dos projetos.