El protocolo Poolz sufre un ataque de desbordamiento aritmético, con pérdidas de aproximadamente 66.5 mil dólares.
Recientemente, un ataque contra el protocolo Poolz ha llamado la atención de la industria. Según los datos en cadena, el ataque ocurrió el 15 de marzo de 2023 e involucró múltiples redes como Ethereum, BNB Chain y Polygon. Los atacantes aprovecharon una vulnerabilidad de desbordamiento aritmético en el contrato inteligente para robar con éxito una gran cantidad de tokens, con un valor total de aproximadamente 66,5 mil dólares.
Los atacantes se enfocaron principalmente en la función CreateMassPools del protocolo Poolz. Esta función originalmente permitía a los usuarios crear múltiples pools de liquidez y proporcionar liquidez inicial. Sin embargo, debido a un problema de desbordamiento aritmético en la función getArraySum, los atacantes pudieron aprovechar esta vulnerabilidad.
En concreto, el atacante introduce un array _StartAmount específico, haciendo que el resultado acumulado supere el valor máximo de uint256, lo que provoca que el valor devuelto sea 1 tras el desbordamiento. Esto permite que el atacante transfiera solo 1 token y registre un depósito de una cantidad mucho mayor a la real en el sistema. Posteriormente, el atacante puede retirar estos tokens que en realidad no existen a través de la función withdraw.
Este incidente involucra varios tokens, incluyendo MEE, ESNC, DON, ASW, KMON, POOLZ, entre otros. Los atacantes han cambiado algunos de los tokens ganados por BNB, pero hasta el momento del informe, estos fondos no se han transferido de la dirección de los atacantes.
Para prevenir que problemas similares vuelvan a ocurrir, los expertos de la industria sugieren que los desarrolladores tomen las siguientes medidas:
Utilice versiones más recientes del compilador Solidity, que realizarán automáticamente comprobaciones de desbordamiento durante el proceso de compilación.
Para proyectos que utilizan versiones anteriores de Solidity, se puede considerar la incorporación de la biblioteca SafeMath de OpenZeppelin para resolver el problema de desbordamiento de enteros.
Fortalecer la auditoría de código, prestando especial atención a las funciones y operaciones que podrían causar desbordamientos aritméticos.
Realizar evaluaciones de seguridad y escaneos de vulnerabilidades de manera regular, y reparar a tiempo los problemas detectados.
Este incidente vuelve a recordar a los desarrolladores de proyectos de blockchain y a los usuarios que, en un ecosistema de criptomonedas en rápido desarrollo, la seguridad siempre debe ser el factor primordial a considerar. Para los inversores, también es fundamental mantenerse alerta y prestar atención a la seguridad y la solidez técnica del proyecto.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
8 me gusta
Recompensa
8
2
Compartir
Comentar
0/400
MetaNomad
· hace13h
Hay un montón de vulnerabilidades, casi no se puede auditar.
Ver originalesResponder0
GasWaster
· hace13h
66 mil también tiene el descaro de salir a hackear? Novato hacker
Poolz protocolo sufrió un ataque de desbordamiento aritmético, con pérdidas de 66.5 mil dólares.
El protocolo Poolz sufre un ataque de desbordamiento aritmético, con pérdidas de aproximadamente 66.5 mil dólares.
Recientemente, un ataque contra el protocolo Poolz ha llamado la atención de la industria. Según los datos en cadena, el ataque ocurrió el 15 de marzo de 2023 e involucró múltiples redes como Ethereum, BNB Chain y Polygon. Los atacantes aprovecharon una vulnerabilidad de desbordamiento aritmético en el contrato inteligente para robar con éxito una gran cantidad de tokens, con un valor total de aproximadamente 66,5 mil dólares.
Los atacantes se enfocaron principalmente en la función CreateMassPools del protocolo Poolz. Esta función originalmente permitía a los usuarios crear múltiples pools de liquidez y proporcionar liquidez inicial. Sin embargo, debido a un problema de desbordamiento aritmético en la función getArraySum, los atacantes pudieron aprovechar esta vulnerabilidad.
En concreto, el atacante introduce un array _StartAmount específico, haciendo que el resultado acumulado supere el valor máximo de uint256, lo que provoca que el valor devuelto sea 1 tras el desbordamiento. Esto permite que el atacante transfiera solo 1 token y registre un depósito de una cantidad mucho mayor a la real en el sistema. Posteriormente, el atacante puede retirar estos tokens que en realidad no existen a través de la función withdraw.
Este incidente involucra varios tokens, incluyendo MEE, ESNC, DON, ASW, KMON, POOLZ, entre otros. Los atacantes han cambiado algunos de los tokens ganados por BNB, pero hasta el momento del informe, estos fondos no se han transferido de la dirección de los atacantes.
Para prevenir que problemas similares vuelvan a ocurrir, los expertos de la industria sugieren que los desarrolladores tomen las siguientes medidas:
Utilice versiones más recientes del compilador Solidity, que realizarán automáticamente comprobaciones de desbordamiento durante el proceso de compilación.
Para proyectos que utilizan versiones anteriores de Solidity, se puede considerar la incorporación de la biblioteca SafeMath de OpenZeppelin para resolver el problema de desbordamiento de enteros.
Fortalecer la auditoría de código, prestando especial atención a las funciones y operaciones que podrían causar desbordamientos aritméticos.
Realizar evaluaciones de seguridad y escaneos de vulnerabilidades de manera regular, y reparar a tiempo los problemas detectados.
Este incidente vuelve a recordar a los desarrolladores de proyectos de blockchain y a los usuarios que, en un ecosistema de criptomonedas en rápido desarrollo, la seguridad siempre debe ser el factor primordial a considerar. Para los inversores, también es fundamental mantenerse alerta y prestar atención a la seguridad y la solidez técnica del proyecto.