Poolz a subi une faille de sécurité, perte d'actifs numériques d'environ 66,5 milliers de dollars.
Récemment, un incident de sécurité concernant des actifs multi-chaînes a suscité l'attention de l'industrie. Selon les données de surveillance en chaîne, le 15 mars 2023 à 3h16 UTC, le projet Poolz sur les réseaux Ethereum, BNB Chain et Polygon a été attaqué. Cet incident implique plusieurs tokens, y compris MEE, ESNC, DON, ASW, KMON, POOLZ, pour un total d'environ 665 000 dollars d'actifs affectés.
L'attaquant a exploité une vulnérabilité dans le contrat intelligent pour exécuter une série d'opérations. Tout d'abord, il a échangé une certaine quantité de jetons MNZ sur un échange décentralisé, puis a appelé la fonction CreateMassPools. Cette fonction était censée être utilisée pour créer des pools de liquidité en masse et fournir une liquidité initiale, mais la fonction getArraySum présente un risque de débordement arithmétique.
Plus précisément, l'attaquant utilise des paramètres soigneusement construits pour faire en sorte que la somme des éléments du tableau _StartAmount dépasse la plage de représentation du type uint256. Cela entraîne un dépassement de l'addition, qui devient 1, tandis que le contrat continue d'enregistrer les attributs de la piscine selon la valeur originale de _StartAmount. Par conséquent, l'attaquant n'a qu'à transférer 1 actif numérique pour enregistrer une grande quantité de liquidité fictive dans le système.
Enfin, l'attaquant a extrait des fonds en appelant la fonction withdraw, complétant ainsi l'ensemble du processus d'attaque. Actuellement, une partie des actifs volés a été échangée contre des BNB, mais n'a pas encore été transférée de l'adresse de l'attaquant.
Cet événement souligne à nouveau l'importance de la sécurité des contrats intelligents. Pour prévenir des problèmes similaires, il est conseillé aux développeurs d'utiliser des versions plus récentes du compilateur Solidity, qui intègrent un mécanisme de vérification des débordements. Pour les versions antérieures, il peut également être envisagé d'introduire des bibliothèques de sécurité tierces comme OpenZeppelin pour renforcer la sécurité du code.
Cet événement nous rappelle que, dans le domaine en rapide évolution de la blockchain, la sécurité doit toujours être une priorité. Les équipes de projet doivent accorder plus d'importance à l'audit de code et aux tests de vulnérabilité, tandis que les utilisateurs doivent également accroître leur sensibilisation aux risques et participer avec prudence aux nouveaux projets. Ce n'est qu'en construisant un écosystème plus sain et plus sûr que nous pourrons promouvoir le développement durable de l'ensemble de l'industrie.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
22 J'aime
Récompense
22
6
Partager
Commentaire
0/400
MetaNeighbor
· 07-20 11:30
Encore un projet a fait un Rug Pull.
Voir l'originalRépondre0
BoredApeResistance
· 07-19 15:48
Un autre projet de pigeons s'est effondré.
Voir l'originalRépondre0
BearMarketBro
· 07-19 06:53
Encore des pigeons ont été pris pour des idiots.
Voir l'originalRépondre0
ApeShotFirst
· 07-18 23:17
Encore une vulnérabilité de débordement ? Les pigeons ont déjà tout vomi.
Voir l'originalRépondre0
0xOverleveraged
· 07-18 22:57
Ces projets sont de plus en plus stables.
Voir l'originalRépondre0
SundayDegen
· 07-18 22:54
Cette vague de spéculation n'a même pas acheté de restes.
Le projet Poolz a été attaqué par un Hacker, entraînant la perte de 665 000 $ d'actif numérique.
Poolz a subi une faille de sécurité, perte d'actifs numériques d'environ 66,5 milliers de dollars.
Récemment, un incident de sécurité concernant des actifs multi-chaînes a suscité l'attention de l'industrie. Selon les données de surveillance en chaîne, le 15 mars 2023 à 3h16 UTC, le projet Poolz sur les réseaux Ethereum, BNB Chain et Polygon a été attaqué. Cet incident implique plusieurs tokens, y compris MEE, ESNC, DON, ASW, KMON, POOLZ, pour un total d'environ 665 000 dollars d'actifs affectés.
L'attaquant a exploité une vulnérabilité dans le contrat intelligent pour exécuter une série d'opérations. Tout d'abord, il a échangé une certaine quantité de jetons MNZ sur un échange décentralisé, puis a appelé la fonction CreateMassPools. Cette fonction était censée être utilisée pour créer des pools de liquidité en masse et fournir une liquidité initiale, mais la fonction getArraySum présente un risque de débordement arithmétique.
Plus précisément, l'attaquant utilise des paramètres soigneusement construits pour faire en sorte que la somme des éléments du tableau _StartAmount dépasse la plage de représentation du type uint256. Cela entraîne un dépassement de l'addition, qui devient 1, tandis que le contrat continue d'enregistrer les attributs de la piscine selon la valeur originale de _StartAmount. Par conséquent, l'attaquant n'a qu'à transférer 1 actif numérique pour enregistrer une grande quantité de liquidité fictive dans le système.
Enfin, l'attaquant a extrait des fonds en appelant la fonction withdraw, complétant ainsi l'ensemble du processus d'attaque. Actuellement, une partie des actifs volés a été échangée contre des BNB, mais n'a pas encore été transférée de l'adresse de l'attaquant.
Cet événement souligne à nouveau l'importance de la sécurité des contrats intelligents. Pour prévenir des problèmes similaires, il est conseillé aux développeurs d'utiliser des versions plus récentes du compilateur Solidity, qui intègrent un mécanisme de vérification des débordements. Pour les versions antérieures, il peut également être envisagé d'introduire des bibliothèques de sécurité tierces comme OpenZeppelin pour renforcer la sécurité du code.
Cet événement nous rappelle que, dans le domaine en rapide évolution de la blockchain, la sécurité doit toujours être une priorité. Les équipes de projet doivent accorder plus d'importance à l'audit de code et aux tests de vulnérabilité, tandis que les utilisateurs doivent également accroître leur sensibilisation aux risques et participer avec prudence aux nouveaux projets. Ce n'est qu'en construisant un écosystème plus sain et plus sûr que nous pourrons promouvoir le développement durable de l'ensemble de l'industrie.