Атака на протокол Poolz призвела до арифметичного переповнення, втрати 66,5 тисячі доларів США.

Протокол Poolz зазнав атаки арифметичного переповнення, збитки приблизно 66,5 тисяч доларів США

Нещодавно інцидент атаки на протокол Poolz привернув увагу галузі. Згідно з даними на блокчейні, атака відбулася 15 березня 2023 року і охоплювала кілька мереж, включаючи Ethereum, BNB Chain та Polygon. Зловмисники, використовуючи вразливість арифметичного переповнення в смарт-контракті, успішно вкрали велику кількість токенів загальною вартістю близько 66,5 тисячі доларів.

Poolz зазнав атаки через переповнення арифметичних операцій, втратили близько 665K доларів!

Атакуюча сторона в основному націлилася на функцію CreateMassPools протоколу Poolz. Ця функція спочатку призначалася для дозволу користувачам масово створювати ліквідні пул і надавати початкову ліквідність. Однак через наявність проблеми арифметичного переповнення у функції getArraySum, атакуючий зміг скористатися цим вразливістю.

Poolz зазнала атаки через проблеми з переповненням, втративши приблизно 665K доларів!

Конкретно, зловмисник передає певний масив _StartAmount, що призводить до того, що його накопичений результат перевищує максимальне значення uint256, що викликає переповнення і повертає значення 1. Це дозволяє зловмиснику внести 1 токен і зафіксувати в системі депозит, що значно перевищує реальну кількість. Потім зловмисник може скористатися функцією withdraw для вилучення цих токенів, яких насправді не існує.

Poolz зазнав атаки через проблему переповнення, збитки складають близько 665K доларів!

Ця подія стосується кількох токенів, зокрема MEE, ESNC, DON, ASW, KMON, POOLZ тощо. Зловмисники вже обміняли частину прибуткових токенів на BNB, але на момент звіту ці кошти ще не були переведені з адреси зловмисників.

Щоб запобігти повторенню подібних проблем, експерти галузі рекомендують розробникам вжити такі заходи:

  1. Використовуйте новішу версію компілятора Solidity, ці версії автоматично виконуватимуть перевірку переповнення під час компіляції.

  2. Для проектів, які використовують більш низькі версії Solidity, можна розглянути можливість впровадження бібліотеки SafeMath від OpenZeppelin для вирішення проблеми переповнення цілих чисел.

  3. Посилити аудит коду, особливо звертаючи увагу на функції та операції, які можуть призвести до арифметичного переповнення.

  4. Регулярно проводити оцінку безпеки та сканування на вразливості, своєчасно усувати виявлені проблеми.

Poolz зазнав атаки через проблему переповнення, збитки складають близько 665K доларів!

Ця подія ще раз нагадала розробникам проектів блокчейн та користувачам, що в швидко розвиваючійся екосистемі криптовалют безпека завжди є найважливішим фактором. Для інвесторів також слід постійно бути насторожі, звертаючи увагу на безпеку проекту та його технічні можливості.

Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
  • Нагородити
  • 2
  • Поділіться
Прокоментувати
0/400
MetaNomadvip
· 07-28 09:58
Уразливостей багато, вже майже не справляємося з аудитом.
Переглянути оригіналвідповісти на0
GasWastervip
· 07-28 09:45
66 тисяч теж смієшся виходити на хак? Кухонний хакер
Переглянути оригіналвідповісти на0
  • Закріпити