Poolz enfrenta una brecha de seguridad, pérdida de activos digitales de aproximadamente 66.5万美元
Recientemente, un incidente de seguridad relacionado con activos multichain ha llamado la atención de la industria. Según el monitoreo de datos en la cadena, alrededor de las 3:16 AM UTC del 15 de marzo de 2023, el proyecto Poolz en las redes de Ethereum, BNB Chain y Polygon fue atacado. Este incidente involucró varios tokens, incluidos MEE, ESNC, DON, ASW, KMON, POOLZ, y un total de aproximadamente 665,000 dólares en activos se vieron afectados.
Un atacante aprovechó una vulnerabilidad en el contrato inteligente para ejecutar una serie de operaciones. Primero, intercambió una cierta cantidad de tokens MNZ en un intercambio descentralizado, y luego llamó a la función CreateMassPools. Esta función debería haber sido utilizada para crear grupos de liquidez en masa y proporcionar liquidez inicial, pero la función getArraySum tenía un riesgo de desbordamiento aritmético.
En concreto, el atacante, mediante parámetros cuidadosamente construidos, hizo que la suma de los elementos en el array _StartAmount superara el rango de representación del tipo uint256. Esto provocó que el resultado acumulado se desbordara a 1, mientras que el contrato seguía registrando las propiedades de la piscina según el valor original de _StartAmount. Por lo tanto, el atacante solo necesita transferir 1 token para registrar una gran cantidad de liquidez falsa en el sistema.
Finalmente, el atacante extrajo fondos llamando a la función withdraw, completando todo el proceso de ataque. Actualmente, parte de los activos robados se ha cambiado por BNB, pero aún no se han transferido fuera de la dirección del atacante.
Este incidente destaca nuevamente la importancia de la seguridad de los contratos inteligentes. Para prevenir problemas similares, se recomienda a los desarrolladores que utilicen versiones más recientes del compilador Solidity, que incorpora mecanismos de verificación de desbordamiento. Para versiones anteriores, también se puede considerar la incorporación de bibliotecas de seguridad de terceros como OpenZeppelin para mejorar la seguridad del código.
Este evento nos recuerda que, en el rápido desarrollo del campo de la blockchain, la seguridad siempre debe ser la principal consideración. Los equipos de proyecto necesitan prestar más atención a la auditoría de código y las pruebas de vulnerabilidad, mientras que los usuarios también deben aumentar su conciencia de los riesgos y participar con precaución en nuevos proyectos. Solo construyendo un ecosistema más saludable y seguro se podrá impulsar el desarrollo sostenible de toda la industria.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
22 me gusta
Recompensa
22
6
Compartir
Comentar
0/400
MetaNeighbor
· 07-20 11:30
Otro proyecto ha hecho un Rug Pull.
Ver originalesResponder0
BoredApeResistance
· 07-19 15:48
Otro proyecto de tontos se ha derrumbado.
Ver originalesResponder0
BearMarketBro
· 07-19 06:53
又有 tontos 被 tomar a la gente por tonta了
Ver originalesResponder0
ApeShotFirst
· 07-18 23:17
¿Otra vulnerabilidad de desbordamiento? Los tontos ya están tomando a la gente por tonta.
Ver originalesResponder0
0xOverleveraged
· 07-18 22:57
Estos proyectos son cada uno más estables que el anterior.
Ver originalesResponder0
SundayDegen
· 07-18 22:54
Esta ola de especulación ni siquiera compró sobras.
El proyecto Poolz fue atacado por hackers, 665,000 dólares en activos digitales se vieron afectados.
Poolz enfrenta una brecha de seguridad, pérdida de activos digitales de aproximadamente 66.5万美元
Recientemente, un incidente de seguridad relacionado con activos multichain ha llamado la atención de la industria. Según el monitoreo de datos en la cadena, alrededor de las 3:16 AM UTC del 15 de marzo de 2023, el proyecto Poolz en las redes de Ethereum, BNB Chain y Polygon fue atacado. Este incidente involucró varios tokens, incluidos MEE, ESNC, DON, ASW, KMON, POOLZ, y un total de aproximadamente 665,000 dólares en activos se vieron afectados.
Un atacante aprovechó una vulnerabilidad en el contrato inteligente para ejecutar una serie de operaciones. Primero, intercambió una cierta cantidad de tokens MNZ en un intercambio descentralizado, y luego llamó a la función CreateMassPools. Esta función debería haber sido utilizada para crear grupos de liquidez en masa y proporcionar liquidez inicial, pero la función getArraySum tenía un riesgo de desbordamiento aritmético.
En concreto, el atacante, mediante parámetros cuidadosamente construidos, hizo que la suma de los elementos en el array _StartAmount superara el rango de representación del tipo uint256. Esto provocó que el resultado acumulado se desbordara a 1, mientras que el contrato seguía registrando las propiedades de la piscina según el valor original de _StartAmount. Por lo tanto, el atacante solo necesita transferir 1 token para registrar una gran cantidad de liquidez falsa en el sistema.
Finalmente, el atacante extrajo fondos llamando a la función withdraw, completando todo el proceso de ataque. Actualmente, parte de los activos robados se ha cambiado por BNB, pero aún no se han transferido fuera de la dirección del atacante.
Este incidente destaca nuevamente la importancia de la seguridad de los contratos inteligentes. Para prevenir problemas similares, se recomienda a los desarrolladores que utilicen versiones más recientes del compilador Solidity, que incorpora mecanismos de verificación de desbordamiento. Para versiones anteriores, también se puede considerar la incorporación de bibliotecas de seguridad de terceros como OpenZeppelin para mejorar la seguridad del código.
Este evento nos recuerda que, en el rápido desarrollo del campo de la blockchain, la seguridad siempre debe ser la principal consideración. Los equipos de proyecto necesitan prestar más atención a la auditoría de código y las pruebas de vulnerabilidad, mientras que los usuarios también deben aumentar su conciencia de los riesgos y participar con precaución en nuevos proyectos. Solo construyendo un ecosistema más saludable y seguro se podrá impulsar el desarrollo sostenible de toda la industria.