Платформа Poolz подверглась атаке, убытки составили около 66,5 тысячи долларов США
15 марта рано утром платформа Poolz на сети Ethereum, Binance Smart Chain и Polygon подверглась хакерской атаке. Согласно данным мониторинга, в результате атаки было украдено множество токенов, включая MEE, ESNC, DON, ASW, KMON, POOLZ и другие, общая стоимость которых составляет около 665 000 долларов США.
Атакующий использовал уязвимость переполнения арифметики в смарт-контракте платформы Poolz. В частности, проблема заключалась в функции getArraySum в функции CreateMassPools. Эта функция не обрабатывала правильно ситуации переполнения, которые могут возникнуть при сложении больших чисел при вычислении начальной ликвидности для массового создания пулов пользователем.
Процесс атаки следующий:
Злоумышленник сначала обменял некоторые токены MNZ на одной из децентрализованных платформ.
Затем была вызвана функция CreateMassPools с тщательно подготовленными параметрами, что привело к переполнению возвращаемого значения функции getArraySum. Это привело к тому, что количество ликвидности, зарегистрированное в системе, значительно превышало фактическое количество токенов, переданных.
В конце концов, злоумышленник с помощью функции withdraw извлек токены, значительно превышающие фактически внесенную сумму, завершив атаку.
Это событие еще раз подчеркивает важность правильной обработки целочисленных операций при разработке смарт-контрактов. Чтобы предотвратить подобные проблемы, разработчики должны рассмотреть возможность использования более новой версии компилятора Solidity, который имеет встроенный механизм проверки на переполнение. Для проектов, использующих более ранние версии Solidity, можно использовать сторонние библиотеки безопасности для предотвращения рисков переполнения целых чисел.
В настоящее время украденные средства еще не были полностью переведены, часть из них уже была обменяна на BNB. Соответствующие стороны продолжают дальнейшее расследование и отслеживание. Этот инцидент напоминает командам DeFi проектов о том, что необходимо более внимательно относиться к безопасности смарт-контрактов, регулярно проводить аудит кода и принимать необходимые меры безопасности для защиты активов пользователей.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
14 Лайков
Награда
14
7
Поделиться
комментарий
0/400
ApeWithAPlan
· 10ч назад
Берегитесь смарт-контрактов, там много ловушек.
Посмотреть ОригиналОтветить0
BTCBeliefStation
· 07-23 08:49
Контракт проверен, теперь можно запускать.
Посмотреть ОригиналОтветить0
CryptoMotivator
· 07-23 08:48
Эта аудиторская проверка контракта все еще может сэкономить?
Посмотреть ОригиналОтветить0
zkProofInThePudding
· 07-23 08:44
Как-то грустно.
Посмотреть ОригиналОтветить0
MEVVictimAlliance
· 07-23 08:38
Снова обманули на рис? Шоун?
Посмотреть ОригиналОтветить0
BearMarketMonk
· 07-23 08:38
неудачники вновь подверглись испытанию, рыночный цикл не более чем это
Платформа Poolz подверглась атаке Хакера, 665000 долларов США токенов были украдены.
Платформа Poolz подверглась атаке, убытки составили около 66,5 тысячи долларов США
15 марта рано утром платформа Poolz на сети Ethereum, Binance Smart Chain и Polygon подверглась хакерской атаке. Согласно данным мониторинга, в результате атаки было украдено множество токенов, включая MEE, ESNC, DON, ASW, KMON, POOLZ и другие, общая стоимость которых составляет около 665 000 долларов США.
Атакующий использовал уязвимость переполнения арифметики в смарт-контракте платформы Poolz. В частности, проблема заключалась в функции getArraySum в функции CreateMassPools. Эта функция не обрабатывала правильно ситуации переполнения, которые могут возникнуть при сложении больших чисел при вычислении начальной ликвидности для массового создания пулов пользователем.
Процесс атаки следующий:
Злоумышленник сначала обменял некоторые токены MNZ на одной из децентрализованных платформ.
Затем была вызвана функция CreateMassPools с тщательно подготовленными параметрами, что привело к переполнению возвращаемого значения функции getArraySum. Это привело к тому, что количество ликвидности, зарегистрированное в системе, значительно превышало фактическое количество токенов, переданных.
В конце концов, злоумышленник с помощью функции withdraw извлек токены, значительно превышающие фактически внесенную сумму, завершив атаку.
Это событие еще раз подчеркивает важность правильной обработки целочисленных операций при разработке смарт-контрактов. Чтобы предотвратить подобные проблемы, разработчики должны рассмотреть возможность использования более новой версии компилятора Solidity, который имеет встроенный механизм проверки на переполнение. Для проектов, использующих более ранние версии Solidity, можно использовать сторонние библиотеки безопасности для предотвращения рисков переполнения целых чисел.
В настоящее время украденные средства еще не были полностью переведены, часть из них уже была обменяна на BNB. Соответствующие стороны продолжают дальнейшее расследование и отслеживание. Этот инцидент напоминает командам DeFi проектов о том, что необходимо более внимательно относиться к безопасности смарт-контрактов, регулярно проводить аудит кода и принимать необходимые меры безопасности для защиты активов пользователей.