- Tema
75k Popularidad
32k Popularidad
9k Popularidad
4k Popularidad
4k Popularidad
29k Popularidad
16k Popularidad
22k Popularidad
13k Popularidad
3k Popularidad
- Anclado
75k Popularidad
32k Popularidad
9k Popularidad
4k Popularidad
4k Popularidad
29k Popularidad
16k Popularidad
22k Popularidad
13k Popularidad
3k Popularidad
Poolz sufre un ataque de desbordamiento aritmético con una pérdida de 665,000 dólares.
Poolz sufre un ataque de desbordamiento aritmético, con pérdidas de aproximadamente 66.5 mil dólares.
Recientemente, el proyecto Poolz en las redes Ethereum, Binance y Polygon fue atacado por hackers, causando pérdidas significativas. Según los datos en la cadena, el ataque ocurrió el 15 de marzo de 2023, involucrando varios tokens, con un valor total de aproximadamente 665,000 dólares.
Los atacantes aprovecharon una vulnerabilidad de desbordamiento aritmético en el contrato de Poolz para llevar a cabo este ataque. El problema principal se encuentra en la función CreateMassPools, que permite a los usuarios crear múltiples grupos de liquidez y proporcionar liquidez inicial. Los atacantes, mediante parámetros de entrada cuidadosamente elaborados, hicieron que la función getArraySum generara un desbordamiento, registrando así un valor enorme en el sistema al transferir solo 1 token.
El proceso de ataque es el siguiente:
El atacante primero intercambió algunos tokens MNZ a través de un intercambio descentralizado.
Luego se llama a la función CreateMassPools, aprovechando la vulnerabilidad de la función getArraySum. Esta función, al sumar el array _StartAmount ingresado por el usuario, devuelve 1 debido a un desbordamiento, mientras que el valor registrado en realidad es un número mucho mayor.
Finalmente, el atacante completó todo el proceso de ataque al llamar a la función withdraw para retirar fondos.
Este incidente resalta nuevamente la gravedad del problema de desbordamiento aritmético en los contratos inteligentes. Para evitar problemas similares, los desarrolladores deberían considerar usar versiones más nuevas del compilador Solidity, que realizan automáticamente verificaciones de desbordamiento durante el proceso de compilación. Para proyectos que utilizan versiones más antiguas de Solidity, se pueden emplear bibliotecas de seguridad de terceros para abordar el problema del desbordamiento de enteros.
Este ataque también nos recuerda que, al manejar contratos inteligentes que implican cálculos extensos, debemos ser especialmente cautelosos y asegurarnos de que todos los posibles casos límite se manejen adecuadamente. Al mismo tiempo, realizar auditorías de seguridad de forma regular y tener un programa de recompensas por vulnerabilidades son medidas efectivas para garantizar la seguridad del proyecto.