Poolz mengalami serangan overflow aritmetika dengan kerugian sebesar 665.000 USD. Aset multichain terpengaruh.

robot
Pembuatan abstrak sedang berlangsung

Poolz Mengalami Serangan Overflow Aritmetika, Mengalami Kerugian Sekitar 66,5 Ribu Dolar

Baru-baru ini, terjadi serangan terhadap Poolz di jaringan Ethereum, Binance Smart Chain, dan Polygon. Menurut pemantauan data on-chain, serangan terjadi pada 15 Maret 2023 pukul 03:16 ( waktu UTC ). Serangan ini melibatkan berbagai token, termasuk MEE, ESNC, DON, ASW, KMON, POOLZ, dengan total kerugian sekitar 665.000 dolar.

Poolz diserang karena masalah overflow aritmatika, mengalami kerugian sekitar 665K USD!

Penyerang memanfaatkan kerentanan overflow aritmatika dalam kontrak pintar Poolz. Secara khusus, masalah terletak pada fungsi getArraySum dalam fungsi CreateMassPools. Fungsi ini gagal menangani dengan benar situasi overflow yang diakibatkan oleh penjumlahan angka besar saat menghitung likuiditas awal yang diberikan oleh pengguna saat membuat kolam secara massal.

Proses serangan adalah sebagai berikut:

  1. Penyerang pertama-tama menukarkan sejumlah kecil token MNZ di suatu bursa terdesentralisasi.

  2. Kemudian panggil fungsi CreateMassPools, dengan parameter yang telah disusun dengan hati-hati. Array _StartAmount berisi dua nilai: satu angka besar yang mendekati batas atas uint256, dan satu jumlah token yang normal.

  3. Karena operasi penjumlahan dalam fungsi getArraySum menyebabkan overflow, nilai yang dikembalikan akhirnya adalah 1. Namun, kontrak masih menggunakan nilai _StartAmount yang asli saat mencatat atribut kolam.

  4. Ini mengakibatkan penyerang sebenarnya hanya mentransfer 1 token, tetapi mencatat jumlah likuiditas yang sangat besar dalam kontrak.

  5. Akhirnya, penyerang memanggil fungsi withdraw untuk menarik token dan menyelesaikan serangan.

Poolz diserang karena masalah overflow aritmatika, kerugian sekitar 665K dolar!

Untuk mencegah masalah seperti ini terjadi lagi, disarankan kepada pengembang untuk mengambil langkah-langkah berikut:

  1. Gunakan versi compiler Solidity yang lebih baru, yang secara otomatis melakukan pemeriksaan overflow.

  2. Jika harus menggunakan versi lama Solidity, Anda dapat mengimpor pustaka keamanan pihak ketiga untuk menangani operasi integer, seperti pustaka SafeMath dari OpenZeppelin.

  3. Dalam menangani input pengguna, terutama dalam situasi yang melibatkan perhitungan angka besar, harus dilakukan pemeriksaan batas yang ketat dan penanganan pengecualian.

  4. Lakukan audit kode secara berkala, dengan perhatian khusus pada bagian yang mungkin melibatkan overflow integer.

  5. Pertimbangkan untuk memperkenalkan mekanisme seperti tanda tangan ganda atau penguncian waktu untuk memberikan waktu tanggapan dalam situasi darurat.

Poolz diserang karena masalah overflow aritmatika, mengalami kerugian sekitar 665K dolar!

Kejadian ini sekali lagi mengingatkan kita bahwa keamanan harus selalu menjadi faktor utama dalam pengembangan kontrak pintar. Bahkan operasi aritmatika yang tampak sederhana pun bisa menjadi celah yang dimanfaatkan oleh penyerang.

Poolz diserang karena masalah overflow aritmatika, mengalami kerugian sekitar 665K dolar!

Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
  • Hadiah
  • 4
  • Bagikan
Komentar
0/400
zkProofInThePuddingvip
· 07-31 01:15
Gelap dan merugi, terlalu jelek ya?
Lihat AsliBalas0
DaisyUnicornvip
· 07-31 01:15
Lihat drama besar di mana bunga kerentanan mekar~ Sekali lagi, sebuah honeypot yang tidak dihitung dengan baik meluap-luap ya
Lihat AsliBalas0
CryptoPhoenixvip
· 07-31 01:14
Satu proyek lagi jatuh... untuk bangkit kembali membutuhkan waktu untuk memperbaiki kepercayaan[翻白眼] tetapi pasar selalu bisa dibangun kembali!
Lihat AsliBalas0
ChainWanderingPoetvip
· 07-31 00:55
66w...puisi bau tembaga pun tidak bisa ditulis.
Lihat AsliBalas0
Perdagangkan Kripto Di Mana Saja Kapan Saja
qrCode
Pindai untuk mengunduh aplikasi Gate
Komunitas
Bahasa Indonesia
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)