O protocolo Poolz sofreu um ataque de overflow aritmético, resultando em perdas de cerca de 66,5 mil dólares.
Recentemente, um ataque ao protocolo Poolz chamou a atenção da indústria. De acordo com dados on-chain, o ataque ocorreu em 15 de março de 2023, envolvendo várias redes, como Ethereum, BNB Chain e Polygon. Os atacantes conseguiram roubar uma grande quantidade de tokens, totalizando um valor de cerca de 66,5 mil dólares, explorando uma vulnerabilidade de estouro aritmético em um contrato inteligente.
Os atacantes concentraram-se principalmente na função CreateMassPools do protocolo Poolz. Essa função era originalmente usada para permitir que os usuários criassem em massa pools de liquidez e fornecessem liquidez inicial. No entanto, devido a um problema de estouro aritmético na função getArraySum, os atacantes conseguiram explorar essa vulnerabilidade.
Especificamente, o atacante faz com que um array _StartAmount específico seja passado, fazendo com que o resultado acumulado exceda o valor máximo de uint256, resultando em um estouro que retorna o valor 1. Isso permite que o atacante transfira apenas 1 token, registrando um depósito de um valor muito superior ao número real no sistema. Em seguida, o atacante pode retirar esses tokens inexistentes através da função withdraw.
Este incidente envolve vários tokens, incluindo MEE, ESNC, DON, ASW, KMON, POOLZ, entre outros. Os atacantes já trocaram parte dos tokens lucrativos por BNB, mas até o momento do relatório, esses fundos ainda não foram transferidos do endereço dos atacantes.
Para prevenir que problemas semelhantes ocorram novamente, especialistas da indústria recomendam que os desenvolvedores adotem as seguintes medidas:
Utilize uma versão mais recente do compilador Solidity, que realiza automaticamente verificações de estouro durante o processo de compilação.
Para projetos que utilizam versões anteriores do Solidity, pode-se considerar a introdução da biblioteca SafeMath da OpenZeppelin para resolver problemas de estouro de inteiros.
Reforçar a auditoria de código, com especial atenção para funções e operações que possam levar a estouro aritmético.
Realizar avaliações de segurança e varreduras de vulnerabilidades regularmente, corrigindo prontamente os problemas identificados.
Este incidente lembra novamente os desenvolvedores de projetos de blockchain e os usuários que, em um ecossistema de criptomoedas em rápida evolução, a segurança deve ser sempre a principal preocupação. Para os investidores, é também importante manter-se alerta e prestar atenção à segurança e à força técnica dos projetos.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
7 gostos
Recompensa
7
2
Partilhar
Comentar
0/400
MetaNomad
· 9h atrás
Há uma pilha de vulnerabilidades, mal conseguimos fazer a auditoria.
Ver originalResponder0
GasWaster
· 9h atrás
660 mil também tem coragem de sair para hackear? Hacker de novato
Poolz protocolo sofreu um ataque de estouro aritmético, resultando em uma perda de 66,5 mil dólares.
O protocolo Poolz sofreu um ataque de overflow aritmético, resultando em perdas de cerca de 66,5 mil dólares.
Recentemente, um ataque ao protocolo Poolz chamou a atenção da indústria. De acordo com dados on-chain, o ataque ocorreu em 15 de março de 2023, envolvendo várias redes, como Ethereum, BNB Chain e Polygon. Os atacantes conseguiram roubar uma grande quantidade de tokens, totalizando um valor de cerca de 66,5 mil dólares, explorando uma vulnerabilidade de estouro aritmético em um contrato inteligente.
Os atacantes concentraram-se principalmente na função CreateMassPools do protocolo Poolz. Essa função era originalmente usada para permitir que os usuários criassem em massa pools de liquidez e fornecessem liquidez inicial. No entanto, devido a um problema de estouro aritmético na função getArraySum, os atacantes conseguiram explorar essa vulnerabilidade.
Especificamente, o atacante faz com que um array _StartAmount específico seja passado, fazendo com que o resultado acumulado exceda o valor máximo de uint256, resultando em um estouro que retorna o valor 1. Isso permite que o atacante transfira apenas 1 token, registrando um depósito de um valor muito superior ao número real no sistema. Em seguida, o atacante pode retirar esses tokens inexistentes através da função withdraw.
Este incidente envolve vários tokens, incluindo MEE, ESNC, DON, ASW, KMON, POOLZ, entre outros. Os atacantes já trocaram parte dos tokens lucrativos por BNB, mas até o momento do relatório, esses fundos ainda não foram transferidos do endereço dos atacantes.
Para prevenir que problemas semelhantes ocorram novamente, especialistas da indústria recomendam que os desenvolvedores adotem as seguintes medidas:
Utilize uma versão mais recente do compilador Solidity, que realiza automaticamente verificações de estouro durante o processo de compilação.
Para projetos que utilizam versões anteriores do Solidity, pode-se considerar a introdução da biblioteca SafeMath da OpenZeppelin para resolver problemas de estouro de inteiros.
Reforçar a auditoria de código, com especial atenção para funções e operações que possam levar a estouro aritmético.
Realizar avaliações de segurança e varreduras de vulnerabilidades regularmente, corrigindo prontamente os problemas identificados.
Este incidente lembra novamente os desenvolvedores de projetos de blockchain e os usuários que, em um ecossistema de criptomoedas em rápida evolução, a segurança deve ser sempre a principal preocupação. Para os investidores, é também importante manter-se alerta e prestar atenção à segurança e à força técnica dos projetos.