Poolz gặp phải lỗ hổng bảo mật, tài sản kỹ thuật số bị mất khoảng 66.5 triệu đô la
Gần đây, một sự kiện an ninh liên quan đến tài sản đa chuỗi đã thu hút sự chú ý của ngành. Theo dữ liệu trên chuỗi, vào khoảng 3 giờ 16 phút sáng UTC ngày 15 tháng 3 năm 2023, dự án Poolz trên mạng Ethereum, chuỗi BNB và mạng Polygon đã bị tấn công. Sự kiện này liên quan đến nhiều loại token, bao gồm MEE, ESNC, DON, ASW, KMON, POOLZ, tổng cộng khoảng 665.000 USD tài sản bị ảnh hưởng.
Kẻ tấn công đã lợi dụng lỗ hổng của hợp đồng thông minh để thực hiện một loạt các thao tác. Đầu tiên, họ đã đổi một số lượng token MNZ nhất định tại một sàn giao dịch phi tập trung, sau đó gọi hàm CreateMassPools. Hàm này vốn được sử dụng để tạo hàng loạt các pool thanh khoản và cung cấp thanh khoản ban đầu, nhưng hàm getArraySum bên trong có nguy cơ tràn số học.
Cụ thể, kẻ tấn công đã thông qua các tham số được cấu trúc cẩn thận, khiến tổng các phần tử trong mảng _StartAmount vượt quá phạm vi biểu diễn của kiểu uint256. Điều này dẫn đến kết quả cộng dồn tràn thành 1, trong khi hợp đồng vẫn ghi lại thuộc tính bể theo giá trị _StartAmount ban đầu. Do đó, kẻ tấn công chỉ cần chuyển vào 1 token, đã có thể ghi nhận một lượng lớn tính thanh khoản giả mạo trong hệ thống.
Cuối cùng, kẻ tấn công đã rút tiền bằng cách gọi hàm withdraw, hoàn thành toàn bộ quá trình tấn công. Hiện tại, một phần tài sản bị đánh cắp đã được đổi thành BNB, nhưng vẫn chưa được chuyển ra khỏi địa chỉ của kẻ tấn công.
Sự kiện này một lần nữa nhấn mạnh tầm quan trọng của an ninh hợp đồng thông minh. Để ngăn ngừa các vấn đề tương tự, khuyên các nhà phát triển nên sử dụng phiên bản mới hơn của trình biên dịch Solidity, trong đó có cơ chế kiểm tra tràn. Đối với các phiên bản cũ, cũng có thể xem xét việc sử dụng các thư viện bảo mật bên thứ ba như OpenZeppelin để tăng cường tính an toàn cho mã.
Sự kiện này nhắc nhở chúng ta rằng, trong lĩnh vực blockchain đang phát triển nhanh chóng, an toàn luôn nên là yếu tố được ưu tiên hàng đầu. Các nhà phát triển dự án cần chú trọng hơn đến việc kiểm tra mã nguồn và kiểm tra lỗ hổng, trong khi người dùng cũng nên nâng cao nhận thức về rủi ro và tham gia cẩn thận vào các dự án mới nổi. Chỉ có xây dựng một hệ sinh thái khỏe mạnh và an toàn hơn mới có thể thúc đẩy sự phát triển bền vững của toàn ngành.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
22 thích
Phần thưởng
22
6
Chia sẻ
Bình luận
0/400
MetaNeighbor
· 07-20 11:30
又 một dự án Rug Pull rồi
Xem bản gốcTrả lời0
BoredApeResistance
· 07-19 15:48
又 một đồ ngốc dự án đã sập.
Xem bản gốcTrả lời0
BearMarketBro
· 07-19 06:53
又有 đồ ngốc bị chơi đùa với mọi người了
Xem bản gốcTrả lời0
ApeShotFirst
· 07-18 23:17
Lại là lỗ hổng tràn? Đồ ngốc đều bị chơi đùa với mọi người.
Xem bản gốcTrả lời0
0xOverleveraged
· 07-18 22:57
Những dự án này sao mà một cái lại ổn định hơn cái kia.
Dự án Poolz bị Hacker tấn công, 665.000 đô la tài sản kỹ thuật số bị thiệt hại
Poolz gặp phải lỗ hổng bảo mật, tài sản kỹ thuật số bị mất khoảng 66.5 triệu đô la
Gần đây, một sự kiện an ninh liên quan đến tài sản đa chuỗi đã thu hút sự chú ý của ngành. Theo dữ liệu trên chuỗi, vào khoảng 3 giờ 16 phút sáng UTC ngày 15 tháng 3 năm 2023, dự án Poolz trên mạng Ethereum, chuỗi BNB và mạng Polygon đã bị tấn công. Sự kiện này liên quan đến nhiều loại token, bao gồm MEE, ESNC, DON, ASW, KMON, POOLZ, tổng cộng khoảng 665.000 USD tài sản bị ảnh hưởng.
Kẻ tấn công đã lợi dụng lỗ hổng của hợp đồng thông minh để thực hiện một loạt các thao tác. Đầu tiên, họ đã đổi một số lượng token MNZ nhất định tại một sàn giao dịch phi tập trung, sau đó gọi hàm CreateMassPools. Hàm này vốn được sử dụng để tạo hàng loạt các pool thanh khoản và cung cấp thanh khoản ban đầu, nhưng hàm getArraySum bên trong có nguy cơ tràn số học.
Cụ thể, kẻ tấn công đã thông qua các tham số được cấu trúc cẩn thận, khiến tổng các phần tử trong mảng _StartAmount vượt quá phạm vi biểu diễn của kiểu uint256. Điều này dẫn đến kết quả cộng dồn tràn thành 1, trong khi hợp đồng vẫn ghi lại thuộc tính bể theo giá trị _StartAmount ban đầu. Do đó, kẻ tấn công chỉ cần chuyển vào 1 token, đã có thể ghi nhận một lượng lớn tính thanh khoản giả mạo trong hệ thống.
Cuối cùng, kẻ tấn công đã rút tiền bằng cách gọi hàm withdraw, hoàn thành toàn bộ quá trình tấn công. Hiện tại, một phần tài sản bị đánh cắp đã được đổi thành BNB, nhưng vẫn chưa được chuyển ra khỏi địa chỉ của kẻ tấn công.
Sự kiện này một lần nữa nhấn mạnh tầm quan trọng của an ninh hợp đồng thông minh. Để ngăn ngừa các vấn đề tương tự, khuyên các nhà phát triển nên sử dụng phiên bản mới hơn của trình biên dịch Solidity, trong đó có cơ chế kiểm tra tràn. Đối với các phiên bản cũ, cũng có thể xem xét việc sử dụng các thư viện bảo mật bên thứ ba như OpenZeppelin để tăng cường tính an toàn cho mã.
Sự kiện này nhắc nhở chúng ta rằng, trong lĩnh vực blockchain đang phát triển nhanh chóng, an toàn luôn nên là yếu tố được ưu tiên hàng đầu. Các nhà phát triển dự án cần chú trọng hơn đến việc kiểm tra mã nguồn và kiểm tra lỗ hổng, trong khi người dùng cũng nên nâng cao nhận thức về rủi ro và tham gia cẩn thận vào các dự án mới nổi. Chỉ có xây dựng một hệ sinh thái khỏe mạnh và an toàn hơn mới có thể thúc đẩy sự phát triển bền vững của toàn ngành.