Poolz mengalami celah keamanan, aset digital yang hilang sekitar 66,5 ribu dolar AS
Baru-baru ini, sebuah insiden keamanan yang menargetkan aset multi-rantai menarik perhatian industri. Berdasarkan pemantauan data on-chain, sekitar pukul 3:16 pagi UTC pada 15 Maret 2023, proyek Poolz di jaringan Ethereum, BNB Chain, dan Polygon mengalami serangan. Insiden ini melibatkan berbagai token, termasuk MEE, ESNC, DON, ASW, KMON, POOLZ, dan total sekitar 665.000 dolar aset terpengaruh.
Penyerang memanfaatkan kerentanan kontrak pintar untuk melakukan serangkaian tindakan. Pertama, mereka menukarkan sejumlah token MNZ di salah satu bursa terdesentralisasi, kemudian memanggil fungsi CreateMassPools. Fungsi ini seharusnya digunakan untuk membuat kolam likuiditas secara massal dan menyediakan likuiditas awal, tetapi terdapat risiko overflow aritmatika dalam fungsi getArraySum.
Secara spesifik, penyerang melalui parameter yang dirancang dengan cermat, membuat jumlah elemen dalam array _StartAmount melebihi rentang representasi tipe uint256. Ini menyebabkan hasil penjumlahan meluap menjadi 1, sementara kontrak masih mencatat atribut kolam berdasarkan nilai _StartAmount yang asli. Oleh karena itu, penyerang hanya perlu memasukkan 1 token, dan dapat mencatat likuiditas palsu yang besar dalam sistem.
Akhirnya, penyerang menarik dana dengan memanggil fungsi withdraw, menyelesaikan seluruh proses serangan. Saat ini, sebagian aset yang dicuri telah ditukarkan menjadi BNB, tetapi belum dipindahkan dari alamat penyerang.
Peristiwa ini sekali lagi menyoroti pentingnya keamanan kontrak pintar. Untuk mencegah masalah serupa, disarankan agar pengembang menggunakan versi terbaru dari compiler Solidity yang dilengkapi dengan mekanisme pemeriksaan overflow. Untuk versi awal, juga dapat mempertimbangkan untuk memperkenalkan pustaka keamanan pihak ketiga seperti OpenZeppelin untuk meningkatkan keamanan kode.
Peristiwa ini mengingatkan kita bahwa dalam bidang blockchain yang berkembang pesat, keamanan selalu harus menjadi faktor utama yang dipertimbangkan. Pihak proyek perlu lebih memperhatikan audit kode dan pengujian kerentanan, sementara pengguna juga harus meningkatkan kesadaran akan risiko dan berhati-hati dalam berpartisipasi dalam proyek-proyek baru. Hanya dengan membangun ekosistem yang lebih sehat dan aman, kita dapat mendorong perkembangan berkelanjutan seluruh industri.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
22 Suka
Hadiah
22
6
Bagikan
Komentar
0/400
MetaNeighbor
· 07-20 11:30
Satu proyek lagi Rug Pull.
Lihat AsliBalas0
BoredApeResistance
· 07-19 15:48
Satu proyek lagi dari para suckers telah runtuh.
Lihat AsliBalas0
BearMarketBro
· 07-19 06:53
Sekali lagi, ada suckers yang dipermainkan.
Lihat AsliBalas0
ApeShotFirst
· 07-18 23:17
Apakah ini bug overflow lagi? Para suckers sudah dipermainkan.
Lihat AsliBalas0
0xOverleveraged
· 07-18 22:57
Proyek-proyek ini semuanya tampak sangat stabil satu sama lain.
Proyek Poolz diserang oleh Hacker, aset digital senilai 665.000 dolar AS terluka
Poolz mengalami celah keamanan, aset digital yang hilang sekitar 66,5 ribu dolar AS
Baru-baru ini, sebuah insiden keamanan yang menargetkan aset multi-rantai menarik perhatian industri. Berdasarkan pemantauan data on-chain, sekitar pukul 3:16 pagi UTC pada 15 Maret 2023, proyek Poolz di jaringan Ethereum, BNB Chain, dan Polygon mengalami serangan. Insiden ini melibatkan berbagai token, termasuk MEE, ESNC, DON, ASW, KMON, POOLZ, dan total sekitar 665.000 dolar aset terpengaruh.
Penyerang memanfaatkan kerentanan kontrak pintar untuk melakukan serangkaian tindakan. Pertama, mereka menukarkan sejumlah token MNZ di salah satu bursa terdesentralisasi, kemudian memanggil fungsi CreateMassPools. Fungsi ini seharusnya digunakan untuk membuat kolam likuiditas secara massal dan menyediakan likuiditas awal, tetapi terdapat risiko overflow aritmatika dalam fungsi getArraySum.
Secara spesifik, penyerang melalui parameter yang dirancang dengan cermat, membuat jumlah elemen dalam array _StartAmount melebihi rentang representasi tipe uint256. Ini menyebabkan hasil penjumlahan meluap menjadi 1, sementara kontrak masih mencatat atribut kolam berdasarkan nilai _StartAmount yang asli. Oleh karena itu, penyerang hanya perlu memasukkan 1 token, dan dapat mencatat likuiditas palsu yang besar dalam sistem.
Akhirnya, penyerang menarik dana dengan memanggil fungsi withdraw, menyelesaikan seluruh proses serangan. Saat ini, sebagian aset yang dicuri telah ditukarkan menjadi BNB, tetapi belum dipindahkan dari alamat penyerang.
Peristiwa ini sekali lagi menyoroti pentingnya keamanan kontrak pintar. Untuk mencegah masalah serupa, disarankan agar pengembang menggunakan versi terbaru dari compiler Solidity yang dilengkapi dengan mekanisme pemeriksaan overflow. Untuk versi awal, juga dapat mempertimbangkan untuk memperkenalkan pustaka keamanan pihak ketiga seperti OpenZeppelin untuk meningkatkan keamanan kode.
Peristiwa ini mengingatkan kita bahwa dalam bidang blockchain yang berkembang pesat, keamanan selalu harus menjadi faktor utama yang dipertimbangkan. Pihak proyek perlu lebih memperhatikan audit kode dan pengujian kerentanan, sementara pengguna juga harus meningkatkan kesadaran akan risiko dan berhati-hati dalam berpartisipasi dalam proyek-proyek baru. Hanya dengan membangun ekosistem yang lebih sehat dan aman, kita dapat mendorong perkembangan berkelanjutan seluruh industri.