Poolz столкнулся с уязвимостью безопасности, потеря цифровых активов составила около 66,5 тысячи долларов США
Недавно инцидент безопасности, связанный с мультирежимными активами, привлек внимание отрасли. Согласно данным мониторинга в цепочке, в 3:16 утра по UTC 15 марта 2023 года проект Poolz на сети Ethereum, BNB Chain и Polygon подвергся атаке. В этом инциденте было затронуто множество токенов, включая MEE, ESNC, DON, ASW, KMON, POOLZ и другие, в общей сложности было затронуто активов на сумму около 665 000 долларов.
Атакующий использовал уязвимость смарт-контракта для выполнения серии операций. Сначала он обменял определенное количество токенов MNZ на одной из децентрализованных бирж, затем вызвал функцию CreateMassPools. Эта функция предназначена для массового создания пулов ликвидности и предоставления начальной ликвидности, но в ней есть риск арифметического переполнения в функции getArraySum.
Конкретно, злоумышленник, используя тщательно сконструированные параметры, добился того, что сумма элементов массива _StartAmount превысила диапазон представления типа uint256. Это привело к тому, что результирующая сумма переполнилась до 1, в то время как контракт по-прежнему фиксировал свойства пула по исходному значению _StartAmount. Таким образом, злоумышленнику достаточно внести 1 токен, чтобы зафиксировать в системе большое количество ложной ликвидности.
В конце концов, злоумышленник вызвал функцию withdraw для вывода средств, завершив весь процесс атаки. В настоящее время часть украденных активов была обменена на BNB, но еще не была переведена с адреса злоумышленника.
Это событие вновь подчеркивает важность безопасности смарт-контрактов. Для предотвращения подобных проблем рекомендуется разработчикам использовать более новые версии компилятора Solidity, которые встроены в механизм проверки переполнения. Для ранних версий также можно рассмотреть возможность внедрения сторонних библиотек безопасности, таких как OpenZeppelin, для повышения безопасности кода.
Это событие напоминает нам, что в быстро развивающейся области блокчейна безопасность всегда должна быть первоочередным фактором. Команды проектов должны уделять больше внимания аудиту кода и тестированию на уязвимости, а пользователи также должны повышать осведомленность о рисках и осторожно участвовать в новейших проектах. Только создавая более здоровую и безопасную экосистему, мы сможем способствовать устойчивому развитию всей отрасли.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
22 Лайков
Награда
22
6
Поделиться
комментарий
0/400
MetaNeighbor
· 07-20 11:30
Еще один проект мошенничества.
Посмотреть ОригиналОтветить0
BoredApeResistance
· 07-19 15:48
Еще один проект неудачников рухнул
Посмотреть ОригиналОтветить0
BearMarketBro
· 07-19 06:53
又有неудачники被разыгрывайте людей как лохов了
Посмотреть ОригиналОтветить0
ApeShotFirst
· 07-18 23:17
Снова уязвимость переполнения? Неудачники уже вырвали.
Проект Poolz подвергся атаке хакеров, 665000 долларов США цифрового актива пострадало.
Poolz столкнулся с уязвимостью безопасности, потеря цифровых активов составила около 66,5 тысячи долларов США
Недавно инцидент безопасности, связанный с мультирежимными активами, привлек внимание отрасли. Согласно данным мониторинга в цепочке, в 3:16 утра по UTC 15 марта 2023 года проект Poolz на сети Ethereum, BNB Chain и Polygon подвергся атаке. В этом инциденте было затронуто множество токенов, включая MEE, ESNC, DON, ASW, KMON, POOLZ и другие, в общей сложности было затронуто активов на сумму около 665 000 долларов.
Атакующий использовал уязвимость смарт-контракта для выполнения серии операций. Сначала он обменял определенное количество токенов MNZ на одной из децентрализованных бирж, затем вызвал функцию CreateMassPools. Эта функция предназначена для массового создания пулов ликвидности и предоставления начальной ликвидности, но в ней есть риск арифметического переполнения в функции getArraySum.
Конкретно, злоумышленник, используя тщательно сконструированные параметры, добился того, что сумма элементов массива _StartAmount превысила диапазон представления типа uint256. Это привело к тому, что результирующая сумма переполнилась до 1, в то время как контракт по-прежнему фиксировал свойства пула по исходному значению _StartAmount. Таким образом, злоумышленнику достаточно внести 1 токен, чтобы зафиксировать в системе большое количество ложной ликвидности.
В конце концов, злоумышленник вызвал функцию withdraw для вывода средств, завершив весь процесс атаки. В настоящее время часть украденных активов была обменена на BNB, но еще не была переведена с адреса злоумышленника.
Это событие вновь подчеркивает важность безопасности смарт-контрактов. Для предотвращения подобных проблем рекомендуется разработчикам использовать более новые версии компилятора Solidity, которые встроены в механизм проверки переполнения. Для ранних версий также можно рассмотреть возможность внедрения сторонних библиотек безопасности, таких как OpenZeppelin, для повышения безопасности кода.
Это событие напоминает нам, что в быстро развивающейся области блокчейна безопасность всегда должна быть первоочередным фактором. Команды проектов должны уделять больше внимания аудиту кода и тестированию на уязвимости, а пользователи также должны повышать осведомленность о рисках и осторожно участвовать в новейших проектах. Только создавая более здоровую и безопасную экосистему, мы сможем способствовать устойчивому развитию всей отрасли.