Poolz plateforme a été attaquée, avec une perte d'environ 66,5 milliers de dollars.
Dans la nuit du 15 mars, la plateforme Poolz sur les réseaux Ethereum, Binance Smart Chain et Polygon a été victime d'une attaque de hackers. Selon les données de la plateforme de surveillance, cette attaque a entraîné le vol de plusieurs tokens, notamment MEE, ESNC, DON, ASW, KMON, et POOLZ, d'une valeur totale d'environ 66,5 millions de dollars.
L'attaquant a exploité une vulnérabilité de débordement arithmétique dans le contrat intelligent de la plateforme Poolz. Plus précisément, le problème se situe dans la fonction getArraySum de la fonction CreateMassPools. Cette fonction ne gère pas correctement les situations de débordement pouvant survenir lors de l'addition de grands nombres, lors du calcul de la liquidité initiale pour la création en masse de pools par les utilisateurs.
Le processus d'attaque est le suivant :
L'attaquant a d'abord échangé des jetons MNZ sur une certaine plateforme décentralisée.
Ensuite, la fonction CreateMassPools a été appelée avec des paramètres soigneusement construits, ce qui a entraîné un dépassement de la valeur de retour de la fonction getArraySum. Cela a conduit à ce que le montant de liquidité enregistré par le système soit bien supérieur au nombre de jetons réellement transférés.
Enfin, l'attaquant a extrait, via la fonction withdraw, des tokens bien supérieurs à la quantité qu'il avait réellement déposée, complétant ainsi l'attaque.
Cet événement met à nouveau en évidence l'importance de traiter correctement les opérations entières dans le développement de contrats intelligents. Pour éviter des problèmes similaires, les développeurs devraient envisager d'utiliser une version plus récente du compilateur Solidity, qui intègre un mécanisme de vérification des débordements. Pour les projets utilisant des versions antérieures de Solidity, il est possible d'adopter des bibliothèques de sécurité tierces pour se prémunir contre les risques de débordement entier.
Actuellement, les fonds volés n'ont pas encore été entièrement transférés, une partie ayant été échangée contre des BNB. Les parties concernées mènent des enquêtes et des suivis supplémentaires. Cet événement rappelle aux équipes de projets DeFi qu'elles doivent accorder une plus grande importance à la sécurité des contrats intelligents, effectuer régulièrement des audits de code et prendre les mesures de sécurité nécessaires pour protéger les actifs des utilisateurs.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
14 J'aime
Récompense
14
7
Partager
Commentaire
0/400
ApeWithAPlan
· Il y a 10h
Attention aux smart contracts, il y a beaucoup de pièges.
Voir l'originalRépondre0
BTCBeliefStation
· 07-23 08:49
Le contrat a-t-il été examiné avant le lancement ?
Voir l'originalRépondre0
CryptoMotivator
· 07-23 08:48
Cette vérification de contrat peut-elle encore être économisée ?
Voir l'originalRépondre0
zkProofInThePudding
· 07-23 08:44
C'est un peu triste.
Voir l'originalRépondre0
MEVVictimAlliance
· 07-23 08:38
Encore victime de la tonte de riz ? Xiu'er
Voir l'originalRépondre0
BearMarketMonk
· 07-23 08:38
pigeons encore accueillent une vague de purification Le cycle du marché n'est rien de plus.
La plateforme Poolz a été attaquée par un hacker, 665 000 $ de jetons ont été volés.
Poolz plateforme a été attaquée, avec une perte d'environ 66,5 milliers de dollars.
Dans la nuit du 15 mars, la plateforme Poolz sur les réseaux Ethereum, Binance Smart Chain et Polygon a été victime d'une attaque de hackers. Selon les données de la plateforme de surveillance, cette attaque a entraîné le vol de plusieurs tokens, notamment MEE, ESNC, DON, ASW, KMON, et POOLZ, d'une valeur totale d'environ 66,5 millions de dollars.
L'attaquant a exploité une vulnérabilité de débordement arithmétique dans le contrat intelligent de la plateforme Poolz. Plus précisément, le problème se situe dans la fonction getArraySum de la fonction CreateMassPools. Cette fonction ne gère pas correctement les situations de débordement pouvant survenir lors de l'addition de grands nombres, lors du calcul de la liquidité initiale pour la création en masse de pools par les utilisateurs.
Le processus d'attaque est le suivant :
L'attaquant a d'abord échangé des jetons MNZ sur une certaine plateforme décentralisée.
Ensuite, la fonction CreateMassPools a été appelée avec des paramètres soigneusement construits, ce qui a entraîné un dépassement de la valeur de retour de la fonction getArraySum. Cela a conduit à ce que le montant de liquidité enregistré par le système soit bien supérieur au nombre de jetons réellement transférés.
Enfin, l'attaquant a extrait, via la fonction withdraw, des tokens bien supérieurs à la quantité qu'il avait réellement déposée, complétant ainsi l'attaque.
Cet événement met à nouveau en évidence l'importance de traiter correctement les opérations entières dans le développement de contrats intelligents. Pour éviter des problèmes similaires, les développeurs devraient envisager d'utiliser une version plus récente du compilateur Solidity, qui intègre un mécanisme de vérification des débordements. Pour les projets utilisant des versions antérieures de Solidity, il est possible d'adopter des bibliothèques de sécurité tierces pour se prémunir contre les risques de débordement entier.
Actuellement, les fonds volés n'ont pas encore été entièrement transférés, une partie ayant été échangée contre des BNB. Les parties concernées mènent des enquêtes et des suivis supplémentaires. Cet événement rappelle aux équipes de projets DeFi qu'elles doivent accorder une plus grande importance à la sécurité des contrats intelligents, effectuer régulièrement des audits de code et prendre les mesures de sécurité nécessaires pour protéger les actifs des utilisateurs.