L'attaque par débordement arithmétique du protocole Poolz a entraîné une perte d'environ 66,5 dollars américains.
Récemment, un incident d'attaque ciblant le protocole Poolz a suscité l'attention de l'industrie. Selon les données on-chain, l'attaque a eu lieu le 15 mars 2023, impliquant plusieurs réseaux tels qu'Ethereum, BNB Chain et Polygon. Les attaquants ont réussi à voler une grande quantité de tokens en exploitant une vulnérabilité de débordement arithmétique dans le contrat intelligent, d'une valeur totale d'environ 66,5 milliers de dollars.
Les attaquants ont principalement ciblé la fonction CreateMassPools du protocole Poolz. Cette fonction était initialement conçue pour permettre aux utilisateurs de créer des pools de liquidité en masse et de fournir une liquidité initiale. Cependant, en raison d'un problème de débordement arithmétique dans la fonction getArraySum, les attaquants ont pu exploiter cette vulnérabilité.
Plus précisément, l'attaquant envoie un tableau _StartAmount spécifique, ce qui fait que le résultat cumulé dépasse la valeur maximale de uint256, entraînant un débordement dont la valeur de retour est 1. Cela permet à l'attaquant de n'avoir besoin de transférer qu'un seul jeton pour enregistrer un dépôt considérablement supérieur à la quantité réelle dans le système. Par la suite, l'attaquant peut utiliser la fonction withdraw pour retirer ces jetons inexistants.
Cet incident implique plusieurs tokens, y compris MEE, ESNC, DON, ASW, KMON, POOLZ, etc. Les attaquants ont échangé une partie des tokens profitables contre des BNB, mais au moment du rapport, ces fonds n'avaient pas encore été transférés de l'adresse des attaquants.
Pour prévenir la récurrence de problèmes similaires, les experts de l'industrie recommandent aux développeurs de prendre les mesures suivantes :
Utilisez une version plus récente du compilateur Solidity, ces versions effectueront automatiquement des vérifications de débordement pendant le processus de compilation.
Pour les projets utilisant une version antérieure de Solidity, il est possible d'envisager l'introduction de la bibliothèque SafeMath d'OpenZeppelin pour résoudre le problème de débordement d'entiers.
Renforcer l'audit de code, en portant une attention particulière aux fonctions et opérations susceptibles de provoquer un dépassement arithmétique.
Effectuer régulièrement des évaluations de sécurité et des analyses de vulnérabilités, et corriger rapidement les problèmes identifiés.
Cet incident rappelle une fois de plus aux développeurs de projets blockchain et aux utilisateurs que, dans un écosystème de cryptomonnaies en rapide évolution, la sécurité doit toujours être une priorité. Pour les investisseurs, il est également important de rester vigilants et de prêter attention à la sécurité et à la solidité technique des projets.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
8 J'aime
Récompense
8
2
Partager
Commentaire
0/400
MetaNomad
· 07-28 09:58
Il y a une foule de vulnérabilités, nous sommes presque débordés par les audits.
Voir l'originalRépondre0
GasWaster
· 07-28 09:45
66 000 aussi bien oser sortir comme un Hacker ? Petit Hacker
L'attaque par débordement arithmétique du protocole Poolz a entraîné une perte de 665 000 dollars.
L'attaque par débordement arithmétique du protocole Poolz a entraîné une perte d'environ 66,5 dollars américains.
Récemment, un incident d'attaque ciblant le protocole Poolz a suscité l'attention de l'industrie. Selon les données on-chain, l'attaque a eu lieu le 15 mars 2023, impliquant plusieurs réseaux tels qu'Ethereum, BNB Chain et Polygon. Les attaquants ont réussi à voler une grande quantité de tokens en exploitant une vulnérabilité de débordement arithmétique dans le contrat intelligent, d'une valeur totale d'environ 66,5 milliers de dollars.
Les attaquants ont principalement ciblé la fonction CreateMassPools du protocole Poolz. Cette fonction était initialement conçue pour permettre aux utilisateurs de créer des pools de liquidité en masse et de fournir une liquidité initiale. Cependant, en raison d'un problème de débordement arithmétique dans la fonction getArraySum, les attaquants ont pu exploiter cette vulnérabilité.
Plus précisément, l'attaquant envoie un tableau _StartAmount spécifique, ce qui fait que le résultat cumulé dépasse la valeur maximale de uint256, entraînant un débordement dont la valeur de retour est 1. Cela permet à l'attaquant de n'avoir besoin de transférer qu'un seul jeton pour enregistrer un dépôt considérablement supérieur à la quantité réelle dans le système. Par la suite, l'attaquant peut utiliser la fonction withdraw pour retirer ces jetons inexistants.
Cet incident implique plusieurs tokens, y compris MEE, ESNC, DON, ASW, KMON, POOLZ, etc. Les attaquants ont échangé une partie des tokens profitables contre des BNB, mais au moment du rapport, ces fonds n'avaient pas encore été transférés de l'adresse des attaquants.
Pour prévenir la récurrence de problèmes similaires, les experts de l'industrie recommandent aux développeurs de prendre les mesures suivantes :
Utilisez une version plus récente du compilateur Solidity, ces versions effectueront automatiquement des vérifications de débordement pendant le processus de compilation.
Pour les projets utilisant une version antérieure de Solidity, il est possible d'envisager l'introduction de la bibliothèque SafeMath d'OpenZeppelin pour résoudre le problème de débordement d'entiers.
Renforcer l'audit de code, en portant une attention particulière aux fonctions et opérations susceptibles de provoquer un dépassement arithmétique.
Effectuer régulièrement des évaluations de sécurité et des analyses de vulnérabilités, et corriger rapidement les problèmes identifiés.
Cet incident rappelle une fois de plus aux développeurs de projets blockchain et aux utilisateurs que, dans un écosystème de cryptomonnaies en rapide évolution, la sécurité doit toujours être une priorité. Pour les investisseurs, il est également important de rester vigilants et de prêter attention à la sécurité et à la solidité technique des projets.