Poolz зазнав атаки через вразливість арифметичного переповнення, збитки складають близько 66,5 тисячі доларів США
Нещодавно інцидент атаки на платформу Poolz привернув увагу галузі. Згідно з даними моніторингу в ланцюгу, атака сталася 15 березня 2023 року і була пов'язана з кількома мережами, включаючи Ethereum, BNB Chain та Polygon. Атакуючі скористалися вразливістю арифметичного переповнення в смарт-контракті, успішно викравши велику кількість токенів, загальна вартість яких становила приблизно 665 тисяч доларів.
Зловмисник, застосовуючи хитромудрі операції функції CreateMassPools, скористався проблемою переповнення цілого числа у функції getArraySum. Конкретно, зловмисник сконструював спеціальний вхідний масив, що призвело до перевищення суми понад межу uint256, внаслідок чого функція повернула значення 1. Проте, контракт при запису властивостей пулу все ще використовував оригінальне значення _StartAmount, що призвело до серйозних фінансових втрат.
Викрадені активи включають різноманітні токени ERC-20, такі як MEE, ESNC, DON, ASW, KMON, POOLZ тощо. Зловмисники вже обміняли частину отриманих токенів на BNB, але на даний момент ці кошти ще не були переведені з адреси зловмисника.
Ця подія ще раз підкреслила важливість аудиту безпеки смарт-контрактів. Щоб уникнути подібних проблем з переповненням арифметичних операцій, фахівці радять розробникам використовувати новіші версії мови програмування Solidity, оскільки ці версії автоматично проводять перевірку на переповнення під час компіляції. Для проектів, які використовують старіші версії Solidity, можна розглянути можливість впровадження бібліотеки SafeMath від OpenZeppelin для підвищення безпеки контракту.
Ця подія атаки нагадує нам, що під час швидкого розвитку технології блокчейн питання безпеки завжди не можна ігнорувати. Розробницька команда повинна приділяти більше уваги аудитам контрактів, вживаючи всебічних заходів безпеки для захисту активів користувачів від загроз подібних атак.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
15 лайків
Нагородити
15
3
Репост
Поділіться
Прокоментувати
0/400
WinterWarmthCat
· 19год тому
Знову переповнення... Це аудит коду був марним?
Переглянути оригіналвідповісти на0
NFTragedy
· 19год тому
Цю справу робіть швидше! За один день 665 тисяч вже немає.
Переглянути оригіналвідповісти на0
AirdropSkeptic
· 19год тому
З такими грошима ще й смієтеся ображати? Не дивно, що всі кажуть, що безпека layer2 погана.
Poolz зазнав атаки через вразливість переповнення арифметичних операцій, втративши 665 000 доларів США.
Poolz зазнав атаки через вразливість арифметичного переповнення, збитки складають близько 66,5 тисячі доларів США
Нещодавно інцидент атаки на платформу Poolz привернув увагу галузі. Згідно з даними моніторингу в ланцюгу, атака сталася 15 березня 2023 року і була пов'язана з кількома мережами, включаючи Ethereum, BNB Chain та Polygon. Атакуючі скористалися вразливістю арифметичного переповнення в смарт-контракті, успішно викравши велику кількість токенів, загальна вартість яких становила приблизно 665 тисяч доларів.
Зловмисник, застосовуючи хитромудрі операції функції CreateMassPools, скористався проблемою переповнення цілого числа у функції getArraySum. Конкретно, зловмисник сконструював спеціальний вхідний масив, що призвело до перевищення суми понад межу uint256, внаслідок чого функція повернула значення 1. Проте, контракт при запису властивостей пулу все ще використовував оригінальне значення _StartAmount, що призвело до серйозних фінансових втрат.
Викрадені активи включають різноманітні токени ERC-20, такі як MEE, ESNC, DON, ASW, KMON, POOLZ тощо. Зловмисники вже обміняли частину отриманих токенів на BNB, але на даний момент ці кошти ще не були переведені з адреси зловмисника.
Ця подія ще раз підкреслила важливість аудиту безпеки смарт-контрактів. Щоб уникнути подібних проблем з переповненням арифметичних операцій, фахівці радять розробникам використовувати новіші версії мови програмування Solidity, оскільки ці версії автоматично проводять перевірку на переповнення під час компіляції. Для проектів, які використовують старіші версії Solidity, можна розглянути можливість впровадження бібліотеки SafeMath від OpenZeppelin для підвищення безпеки контракту.
Ця подія атаки нагадує нам, що під час швидкого розвитку технології блокчейн питання безпеки завжди не можна ігнорувати. Розробницька команда повинна приділяти більше уваги аудитам контрактів, вживаючи всебічних заходів безпеки для захисту активів користувачів від загроз подібних атак.