Nền tảng Poolz bị tấn công, thiệt hại khoảng 66.5 triệu đô la Mỹ
Vào rạng sáng ngày 15 tháng 3, nền tảng Poolz trên mạng Ethereum, Binance Smart Chain và Polygon đã bị tấn công bởi hacker. Theo dữ liệu từ nền tảng giám sát, cuộc tấn công này đã dẫn đến việc nhiều loại token bị đánh cắp, bao gồm MEE, ESNC, DON, ASW, KMON, POOLZ, với tổng giá trị khoảng 665.000 đô la.
Kẻ tấn công đã lợi dụng một lỗ hổng tràn số học trong hợp đồng thông minh của nền tảng Poolz. Cụ thể, vấn đề nằm ở hàm getArraySum trong hàm CreateMassPools. Hàm này không xử lý đúng cách trường hợp tràn số có thể xảy ra khi tính toán thanh khoản ban đầu cho người dùng khi tạo hàng loạt hồ bơi.
Quá trình tấn công như sau:
Kẻ tấn công trước tiên đã đổi một số token MNZ tại một sàn giao dịch phi tập trung nào đó.
Sau đó gọi hàm CreateMassPools, truyền vào các tham số được xây dựng cẩn thận, khiến giá trị trả về của hàm getArraySum bị tràn. Điều này dẫn đến số lượng thanh khoản được hệ thống ghi lại lớn hơn nhiều so với số lượng token thực tế đã chuyển vào.
Cuối cùng, kẻ tấn công đã rút token vượt xa số lượng thực tế mà họ đã gửi thông qua hàm withdraw, hoàn thành cuộc tấn công.
Sự kiện lần này một lần nữa làm nổi bật tầm quan trọng của việc xử lý chính xác các phép toán số nguyên trong phát triển hợp đồng thông minh. Để ngăn chặn các vấn đề tương tự, các nhà phát triển nên xem xét sử dụng phiên bản mới hơn của trình biên dịch Solidity, trong đó tích hợp cơ chế kiểm tra tràn số. Đối với các dự án sử dụng phiên bản Solidity cũ hơn, có thể áp dụng thư viện bảo mật của bên thứ ba để phòng ngừa rủi ro tràn số nguyên.
Hiện tại, số tiền bị đánh cắp vẫn chưa được chuyển hoàn toàn, một phần đã được đổi sang BNB. Các bên liên quan đang tiến hành điều tra và theo dõi thêm. Sự kiện này nhắc nhở các dự án DeFi cần chú trọng hơn đến tính an toàn của hợp đồng thông minh, thường xuyên thực hiện kiểm toán mã và thực hiện các biện pháp an ninh cần thiết để bảo vệ tài sản của người dùng.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Nền tảng Poolz遭 Hacker tấn công 66.5万美元 Token bị đánh cắp
Nền tảng Poolz bị tấn công, thiệt hại khoảng 66.5 triệu đô la Mỹ
Vào rạng sáng ngày 15 tháng 3, nền tảng Poolz trên mạng Ethereum, Binance Smart Chain và Polygon đã bị tấn công bởi hacker. Theo dữ liệu từ nền tảng giám sát, cuộc tấn công này đã dẫn đến việc nhiều loại token bị đánh cắp, bao gồm MEE, ESNC, DON, ASW, KMON, POOLZ, với tổng giá trị khoảng 665.000 đô la.
Kẻ tấn công đã lợi dụng một lỗ hổng tràn số học trong hợp đồng thông minh của nền tảng Poolz. Cụ thể, vấn đề nằm ở hàm getArraySum trong hàm CreateMassPools. Hàm này không xử lý đúng cách trường hợp tràn số có thể xảy ra khi tính toán thanh khoản ban đầu cho người dùng khi tạo hàng loạt hồ bơi.
Quá trình tấn công như sau:
Kẻ tấn công trước tiên đã đổi một số token MNZ tại một sàn giao dịch phi tập trung nào đó.
Sau đó gọi hàm CreateMassPools, truyền vào các tham số được xây dựng cẩn thận, khiến giá trị trả về của hàm getArraySum bị tràn. Điều này dẫn đến số lượng thanh khoản được hệ thống ghi lại lớn hơn nhiều so với số lượng token thực tế đã chuyển vào.
Cuối cùng, kẻ tấn công đã rút token vượt xa số lượng thực tế mà họ đã gửi thông qua hàm withdraw, hoàn thành cuộc tấn công.
Sự kiện lần này một lần nữa làm nổi bật tầm quan trọng của việc xử lý chính xác các phép toán số nguyên trong phát triển hợp đồng thông minh. Để ngăn chặn các vấn đề tương tự, các nhà phát triển nên xem xét sử dụng phiên bản mới hơn của trình biên dịch Solidity, trong đó tích hợp cơ chế kiểm tra tràn số. Đối với các dự án sử dụng phiên bản Solidity cũ hơn, có thể áp dụng thư viện bảo mật của bên thứ ba để phòng ngừa rủi ro tràn số nguyên.
Hiện tại, số tiền bị đánh cắp vẫn chưa được chuyển hoàn toàn, một phần đã được đổi sang BNB. Các bên liên quan đang tiến hành điều tra và theo dõi thêm. Sự kiện này nhắc nhở các dự án DeFi cần chú trọng hơn đến tính an toàn của hợp đồng thông minh, thường xuyên thực hiện kiểm toán mã và thực hiện các biện pháp an ninh cần thiết để bảo vệ tài sản của người dùng.