This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Poolzがセキュリティ脆弱性の攻撃を受け、66.5万ドルの資産が影響を受けました。
Poolzがセキュリティ事件に遭遇し、約66.5万ドルの資産が影響を受けました
最近、複数のブロックチェーンネットワーク上のPoolzプロジェクトがセキュリティ事件に遭遇し、大量のトークンが不正に引き出される事態が発生しました。この事件は、世界協定時刻2023年3月15日午前3時16分頃に発生し、Ethereum、BNBスマートチェーン、Polygonなど複数のネットワークに影響を与えました。
オンチェーンデータによると、今回の事件には MEE、ESNC、DON、ASW、KMON、POOLZ などの複数のトークンが関与しています。引き出されたトークンの総価値は約 66.5 万ドルです。現在、引き出されたトークンの一部は BNB に交換されていますが、まだ他のアドレスに移動されていません。
! Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました!
分析によると、今回の事件の根本的な原因はスマートコントラクトにおける算術オーバーフローの脆弱性です。攻撃者はCreateMassPools関数の脆弱性を巧妙に利用し、低コストで大量の資金引き出しを実現しました。具体的には、攻撃者は流動性プールを作成する際に、getArraySum関数の整数オーバーフローの問題を利用し、システムに記録された入金額が実際の入金額を大きく上回る結果となりました。
事件の流れは大まかに以下の通りです:
攻撃者は最初に分散型取引所で少量のMNZトークンを交換しました。
その後、CreateMassPools関数が呼び出され、この関数はユーザーが流動性プールを一括で作成し、初期流動性を提供できるようにします。
プールを作成する際に、攻撃者は入力パラメータを巧妙に構築し、getArraySum関数の戻り値がオーバーフローによって非常に小さくなったが、実際に記録された預入額は非常に大きな数値であった。
最後に、攻撃者は withdraw 関数を通じて、実際に預けた量をはるかに超えるトークンを引き出しました。
! Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました!
類似の事件が再発するのを防ぐために、業界の専門家は開発者に以下の措置を講じることを提案しています:
より新しいバージョンのSolidityプログラミング言語を使用してください。これらのバージョンにはオーバーフロー検査メカニズムが組み込まれています。
古いバージョンのSolidityを使用しているプロジェクトに対しては、整数演算を処理し、オーバーフローの問題を回避するためにOpenZeppelinのSafeMathライブラリを導入することを検討できます。
コード監査を強化し、特に算術オーバーフローを引き起こす可能性がある部分に注意してください。
マルチシグネチャなどの追加のセキュリティメカニズムを導入し、重要な操作に保護層を追加することを検討してください。
! Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました!
この出来事は、急速に発展する暗号通貨エコシステムにおいて、ブロックチェーンプロジェクトの開発者やユーザーに対して、安全が常に最優先の考慮事項であることを再度思い出させます。プロジェクトチームは安全対策を常に改善し続けるべきであり、ユーザーも警戒を怠らず、さまざまなDeFi活動に慎重に参加する必要があります。
! Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました!