Poolz enfrenta um incidente de segurança, aproximadamente 665 mil dólares em ativos foram afetados

Recentemente, vários projetos Poolz em redes de blockchain enfrentaram incidentes de segurança, resultando na extração ilegal de uma grande quantidade de tokens. O evento ocorreu por volta das 3h16 UTC do dia 15 de março de 2023, afetando várias redes, incluindo Ethereum, BNB Smart Chain e Polygon.

De acordo com os dados na blockchain, este evento envolveu vários tokens, incluindo MEE, ESNC, DON, ASW, KMON, POOLZ, entre outros. O valor total dos tokens retirados é de aproximadamente 665 mil dólares. Atualmente, alguns dos tokens retirados foram trocados por BNB, mas ainda não foram transferidos para outros endereços.

A análise mostra que a causa fundamental deste evento é a existência de uma vulnerabilidade de estouro aritmético no contrato inteligente. O atacante, ao explorar habilidosamente a vulnerabilidade na função CreateMassPools, conseguiu realizar operações de retirada de fundos em grande quantidade e a baixo custo. Especificamente, ao criar o pool de liquidez, o atacante utilizou o problema de estouro de inteiros na função getArraySum, fazendo com que o valor depositado registrado pelo sistema fosse muito maior do que o valor realmente depositado.

O processo do evento é aproximadamente o seguinte:

1. O atacante primeiro trocou uma pequena quantidade de tokens MNZ através de uma exchange descentralizada.

2. Em seguida, foi chamada a função CreateMassPools, que permite aos usuários criar pools de liquidez em massa e fornecer liquidez inicial.

3. Ao criar o pool, o atacante construiu habilmente os parâmetros de entrada, de modo que o valor de retorno da função getArraySum se tornasse muito pequeno devido a um estouro, mas o valor realmente registrado do montante depositado era um número muito grande.

4. Por fim, o atacante retirou tokens muito além da quantidade realmente depositada através da função withdraw.

Para evitar que eventos semelhantes ocorram novamente, especialistas da indústria sugerem que os desenvolvedores adotem as seguintes medidas:

1. Use versões mais recentes da linguagem de programação Solidity, que possuem um mecanismo de verificação de estouro embutido.

2. Para projetos que utilizam versões antigas do Solidity, pode-se considerar a introdução da biblioteca SafeMath da OpenZeppelin para lidar com operações inteiras, evitando problemas de overflow.

3. Reforçar a auditoria de código, prestando especial atenção às partes que podem levar a overflow aritmético.

4. Considerar a introdução de mecanismos de segurança adicionais, como assinaturas múltiplas, para adicionar uma camada de proteção às operações críticas.

Este evento lembrou novamente aos desenvolvedores de projetos de blockchain e aos usuários que, em um ecossistema de criptomoedas em rápida evolução, a segurança deve ser sempre a principal consideração. Os desenvolvedores de projetos devem continuamente aprimorar as medidas de segurança, enquanto os usuários também devem permanecer vigilantes e participar com cautela de diversas atividades DeFi.