# Poolzプロジェクトは算術オーバーフローの脆弱性により攻撃を受け、約66.5万ドルの損失を被りました最近、Poolzプロジェクトに対する攻撃事件が暗号通貨コミュニティで広く注目されています。チェーン上の監視データによると、攻撃は2023年3月15日に発生し、Ethereum、BNB Chain、Polygonの3つのネットワークが関与しています。攻撃者はスマートコントラクト内の算術オーバーフローの脆弱性を利用し、大量のトークンを成功裏に盗み取り、その総価値は約66.5万ドルです。! [Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました! ](https://img-cdn.gateio.im/social/moments-974bc1b1f017458e935bb53bf55cef3e)## 攻撃の詳細攻撃者は次のステップでこの攻撃を実行しました:1. まず、分散型取引所で一定量のMNZトークンを交換しました。2. その後、Poolz契約のCreateMassPools関数が呼び出されました。この関数は、本来ユーザーが流動性プールを一括で作成し、初期流動性を提供することを可能にするはずでしたが、深刻な脆弱性が存在しました。3. 問題はgetArraySum関数にあります。この関数はユーザーが提供した初期流動性の数量を計算するために使用されますが、整数オーバーフローの状況を正しく処理できていません。4. 攻撃者は巧妙に入力パラメータを構築し、_StartAmount配列にuint256の最大値を超える数値を含めました。これにより累積結果がオーバーフローし、最終的な戻り値は1となりました。5. 契約がプールの属性を記録する際に、実際に転送されたトークンの数量ではなく、_StartAmountの原始値を使用したため、攻撃者は1つのトークンを転送するだけで、実際よりもはるかに高い流動性のプールを作成できます。6. 最後に、攻撃者はwithdraw関数を呼び出して大量の未承認のトークンを引き出し、攻撃プロセス全体を完了しました。! [Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました! ](https://img-cdn.gateio.im/social/moments-7726863222e36bd3db4e3408503ba81c)## 盗まれた資産今回の攻撃により、さまざまなトークンが損失を被りましたが、これに限定されません:- 2,805,805 MEE- 525,134人のESNC- 774,997ドン- 2,007,504,238 対潜水艦戦- 6,510,689キロ- 2,521,065プール- 35,976,107 DCD- 760,845ポートX攻撃者は盗まれた一部のトークンをBNBに交換しましたが、報告時点ではこれらの資金は攻撃者のアドレスから移動されていません。! [Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました! ](https://img-cdn.gateio.im/social/moments-207e83ef73f5ece4adee71f4f42674f3)## 予防に関する推奨事項類似の算術オーバーフローの脆弱性を防ぐために、専門家は以下の対策を講じることを推奨しています:1. より新しいバージョンのSolidityコンパイラを使用してください。これらのバージョンは、コンパイル中に自動的にオーバーフローのチェックを行います。2. 古いバージョンのSolidityを使用しているプロジェクトには、整数演算を処理するためにOpenZeppelinのSafeMathライブラリを導入することをお勧めします。これにより、オーバーフローの問題を回避できます。3. 大きな数の計算に関わる部分に特に注意を払い、全面的なコード監査を行う。4. 厳格な入力検証を実施し、ユーザーが提供するパラメータが合理的な範囲内であることを確認します。5. 重要な操作にマルチシグやタイムロックなどのセキュリティメカニズムを追加することを検討してください。この事件は、スマートコントラクトのセキュリティの重要性を再度浮き彫りにし、開発者やプロジェクト側に常に警戒を怠らず、コードの安全性を継続的に向上させる必要があることを思い出させます。また、ユーザーに対しても、特に新たに立ち上げられたプロジェクトや十分に監査されていないプロジェクトに参加する際には、分散型金融プロジェクトとの相互作用において特に注意を払うように促します。! [Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました! ](https://img-cdn.gateio.im/social/moments-915eae1e1853f3d04d16dbac2b8c504a)
Poolzプロジェクトが算術オーバーフロー攻撃を受け、66.5万ドルの暗号資産を失った
Poolzプロジェクトは算術オーバーフローの脆弱性により攻撃を受け、約66.5万ドルの損失を被りました
最近、Poolzプロジェクトに対する攻撃事件が暗号通貨コミュニティで広く注目されています。チェーン上の監視データによると、攻撃は2023年3月15日に発生し、Ethereum、BNB Chain、Polygonの3つのネットワークが関与しています。攻撃者はスマートコントラクト内の算術オーバーフローの脆弱性を利用し、大量のトークンを成功裏に盗み取り、その総価値は約66.5万ドルです。
! Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました!
攻撃の詳細
攻撃者は次のステップでこの攻撃を実行しました:
まず、分散型取引所で一定量のMNZトークンを交換しました。
その後、Poolz契約のCreateMassPools関数が呼び出されました。この関数は、本来ユーザーが流動性プールを一括で作成し、初期流動性を提供することを可能にするはずでしたが、深刻な脆弱性が存在しました。
問題はgetArraySum関数にあります。この関数はユーザーが提供した初期流動性の数量を計算するために使用されますが、整数オーバーフローの状況を正しく処理できていません。
攻撃者は巧妙に入力パラメータを構築し、_StartAmount配列にuint256の最大値を超える数値を含めました。これにより累積結果がオーバーフローし、最終的な戻り値は1となりました。
契約がプールの属性を記録する際に、実際に転送されたトークンの数量ではなく、_StartAmountの原始値を使用したため、攻撃者は1つのトークンを転送するだけで、実際よりもはるかに高い流動性のプールを作成できます。
最後に、攻撃者はwithdraw関数を呼び出して大量の未承認のトークンを引き出し、攻撃プロセス全体を完了しました。
! Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました!
盗まれた資産
今回の攻撃により、さまざまなトークンが損失を被りましたが、これに限定されません:
攻撃者は盗まれた一部のトークンをBNBに交換しましたが、報告時点ではこれらの資金は攻撃者のアドレスから移動されていません。
! Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました!
予防に関する推奨事項
類似の算術オーバーフローの脆弱性を防ぐために、専門家は以下の対策を講じることを推奨しています:
より新しいバージョンのSolidityコンパイラを使用してください。これらのバージョンは、コンパイル中に自動的にオーバーフローのチェックを行います。
古いバージョンのSolidityを使用しているプロジェクトには、整数演算を処理するためにOpenZeppelinのSafeMathライブラリを導入することをお勧めします。これにより、オーバーフローの問題を回避できます。
大きな数の計算に関わる部分に特に注意を払い、全面的なコード監査を行う。
厳格な入力検証を実施し、ユーザーが提供するパラメータが合理的な範囲内であることを確認します。
重要な操作にマルチシグやタイムロックなどのセキュリティメカニズムを追加することを検討してください。
この事件は、スマートコントラクトのセキュリティの重要性を再度浮き彫りにし、開発者やプロジェクト側に常に警戒を怠らず、コードの安全性を継続的に向上させる必要があることを思い出させます。また、ユーザーに対しても、特に新たに立ち上げられたプロジェクトや十分に監査されていないプロジェクトに参加する際には、分散型金融プロジェクトとの相互作用において特に注意を払うように促します。
! Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました!