Платформа Poolz зазнала нападу, збитки складають приблизно 66,5 тисячі доларів США
15 березня вночі платформа Poolz на мережах Ethereum, Binance Smart Chain та Polygon зазнала хакерської атаки. За даними моніторингу платформи, ця атака призвела до викрадення декількох токенів, зокрема MEE, ESNC, DON, ASW, KMON, POOLZ, загальна вартість яких становить близько 665 тисяч доларів.
Зловмисники використали вразливість арифметичного переповнення в смарт-контракті платформи Poolz. Зокрема, проблема полягала в функції getArraySum у функції CreateMassPools. Ця функція не обробляла належним чином ситуації переповнення, які можуть виникнути при складанні великих чисел під час обчислення початкової ліквідності для масового створення пулів.
Процес атаки виглядає так:
Зловмисник спочатку обміняв деякі токени MNZ на певній децентралізованій платформі.
Потім був викликаний функція CreateMassPools з ретельно сформованими параметрами, що призвело до переповнення значення, яке повертається функцією getArraySum. Це призвело до того, що кількість ліквідності, зареєстрована в системі, значно перевищує фактичну кількість токенів, що були переведені.
Нарешті, зловмисник через функцію withdraw витягнув токени, що значно перевищують його фактичну суму депозиту, завершивши атаку.
Ця подія ще раз підкреслила важливість правильного оброблення цілочисельних операцій у розробці смарт-контрактів. Щоб запобігти подібним проблемам, розробники повинні розглянути можливість використання новіших версій компілятора Solidity, який має вбудований механізм перевірки на переповнення. Для проектів, що використовують більш ранні версії Solidity, можна скористатися сторонніми бібліотеками безпеки для запобігання ризику переповнення цілих чисел.
Наразі вкрадені кошти ще не повністю переміщені, частина вже була обміняна на BNB. Відповідні сторони проводять подальше розслідування та відстеження. Ця подія нагадує проектам DeFi про необхідність більш серйозно ставитися до безпеки смарт-контрактів, регулярно проводити аудит коду та вживати необхідних заходів безпеки для захисту активів користувачів.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
13 лайків
Нагородити
13
6
Поділіться
Прокоментувати
0/400
BTCBeliefStation
· 11год тому
Договор перевірено, так що можна запускати.
Переглянути оригіналвідповісти на0
CryptoMotivator
· 11год тому
Цей аудит контракту також можна зекономити?
Переглянути оригіналвідповісти на0
zkProofInThePudding
· 11год тому
Трохи сумно.
Переглянути оригіналвідповісти на0
MEVVictimAlliance
· 12год тому
Знову обдерли рисом? Шо?
Переглянути оригіналвідповісти на0
BearMarketMonk
· 12год тому
невдахи знову переживають чергове очищення. Ринковий цикл не більше ніж це.
Платформа Poolz зазнала атаки хакера, з якої було вкрадено токени на 665 тисяч доларів США.
Платформа Poolz зазнала нападу, збитки складають приблизно 66,5 тисячі доларів США
15 березня вночі платформа Poolz на мережах Ethereum, Binance Smart Chain та Polygon зазнала хакерської атаки. За даними моніторингу платформи, ця атака призвела до викрадення декількох токенів, зокрема MEE, ESNC, DON, ASW, KMON, POOLZ, загальна вартість яких становить близько 665 тисяч доларів.
Зловмисники використали вразливість арифметичного переповнення в смарт-контракті платформи Poolz. Зокрема, проблема полягала в функції getArraySum у функції CreateMassPools. Ця функція не обробляла належним чином ситуації переповнення, які можуть виникнути при складанні великих чисел під час обчислення початкової ліквідності для масового створення пулів.
Процес атаки виглядає так:
Зловмисник спочатку обміняв деякі токени MNZ на певній децентралізованій платформі.
Потім був викликаний функція CreateMassPools з ретельно сформованими параметрами, що призвело до переповнення значення, яке повертається функцією getArraySum. Це призвело до того, що кількість ліквідності, зареєстрована в системі, значно перевищує фактичну кількість токенів, що були переведені.
Нарешті, зловмисник через функцію withdraw витягнув токени, що значно перевищують його фактичну суму депозиту, завершивши атаку.
Ця подія ще раз підкреслила важливість правильного оброблення цілочисельних операцій у розробці смарт-контрактів. Щоб запобігти подібним проблемам, розробники повинні розглянути можливість використання новіших версій компілятора Solidity, який має вбудований механізм перевірки на переповнення. Для проектів, що використовують більш ранні версії Solidity, можна скористатися сторонніми бібліотеками безпеки для запобігання ризику переповнення цілих чисел.
Наразі вкрадені кошти ще не повністю переміщені, частина вже була обміняна на BNB. Відповідні сторони проводять подальше розслідування та відстеження. Ця подія нагадує проектам DeFi про необхідність більш серйозно ставитися до безпеки смарт-контрактів, регулярно проводити аудит коду та вживати необхідних заходів безпеки для захисту активів користувачів.