El proyecto Poolz sufrió un ataque debido a una vulnerabilidad de desbordamiento aritmético, con pérdidas de aproximadamente 66.5 mil dólares.
Recientemente, un ataque dirigido al proyecto Poolz ha llamado la atención de la comunidad de criptomonedas. Según los datos de monitoreo en la cadena, el ataque ocurrió el 15 de marzo de 2023, e involucró a tres redes: Ethereum, BNB Chain y Polygon. El atacante aprovechó una vulnerabilidad de desbordamiento aritmético en el contrato inteligente, logrando robar una gran cantidad de tokens, con un valor total de aproximadamente 665,000 dólares.
Detalles del ataque
Los atacantes llevaron a cabo este ataque a través de los siguientes pasos:
Primero, intercambié una cierta cantidad de tokens MNZ en un intercambio descentralizado.
Luego se llamó a la función CreateMassPools en el contrato de Poolz. Esta función se suponía que permitía a los usuarios crear múltiples grupos de liquidez y proporcionar liquidez inicial, pero contiene una grave vulnerabilidad.
El problema se encuentra en la función getArraySum. Esta función se utiliza para calcular la cantidad de liquidez inicial proporcionada por el usuario, pero no maneja correctamente la situación de desbordamiento de enteros.
El atacante construyó hábilmente los parámetros de entrada, de modo que el array _StartAmount contenía números que superaban el valor máximo de uint256. Esto provocó un desbordamiento en el resultado acumulado, y el valor de retorno final fue 1.
Debido a que el contrato utilizó el valor original de _StartAmount al registrar las propiedades del fondo, en lugar de la cantidad real de tokens transferidos, un atacante solo necesita transferir 1 token para crear un fondo con una liquidez muy superior a la real.
Finalmente, el atacante extrajo una gran cantidad de tokens no autorizados al llamar a la función withdraw, completando así todo el proceso de ataque.
Activos robados
Este ataque resultó en pérdidas para varios tokens, incluyendo pero no limitado a:
2,805,805 MEE
525,134 ESNC
774,997 DON
2,007,504,238 ASW
6,510,689 KMON
2,521,065 POOLZ
35,976,107 DCD
760,845 PORTX
Los atacantes han intercambiado parte de los tokens robados por BNB, pero hasta el momento del informe, estos fondos aún no han sido transferidos de la dirección del atacante.
Sugerencias de prevención
Para prevenir vulnerabilidades de desbordamiento aritmético similares, los expertos recomiendan tomar las siguientes medidas:
Utiliza una versión más reciente del compilador de Solidity, estas versiones realizan automáticamente la verificación de desbordamiento durante el proceso de compilación.
Para los proyectos que utilizan versiones más antiguas de Solidity, se recomienda incorporar la biblioteca SafeMath de OpenZeppelin para manejar operaciones enteras y así evitar problemas de desbordamiento.
Realizar una auditoría de código completa, prestando especial atención a las partes que involucran operaciones de gran tamaño.
Implementar una validación de entrada estricta para asegurar que los parámetros proporcionados por el usuario estén dentro de un rango razonable.
Considere agregar mecanismos de seguridad como firmas múltiples o bloqueos temporales en operaciones clave.
Este incidente destaca una vez más la importancia de la seguridad de los contratos inteligentes, recordando a los desarrolladores y a los equipos de proyectos que deben mantenerse siempre alerta y seguir mejorando la seguridad del código. Al mismo tiempo, también recuerda a los usuarios que deben ser especialmente cautelosos al interactuar con proyectos de finanzas descentralizadas, especialmente al participar en proyectos recién lanzados o que no han sido auditados adecuadamente.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
18 me gusta
Recompensa
18
8
Compartir
Comentar
0/400
GateUser-a5fa8bd0
· 07-23 01:44
Otra vez problemas con el contrato, tsk tsk
Ver originalesResponder0
SellTheBounce
· 07-20 10:40
Otro tonto caida a cero, la trama familiar.
Ver originalesResponder0
DataBartender
· 07-20 02:14
Escuchar una charla y tomar una taza de té.
Ver originalesResponder0
GasFeeCrying
· 07-20 02:13
Otra vez con la historia oscura, me voy, me voy.
Ver originalesResponder0
LazyDevMiner
· 07-20 02:13
Otro caso de advertencia de desbordamiento cero
Ver originalesResponder0
DEXRobinHood
· 07-20 02:13
¿Quién es el siguiente en la lista?
Ver originalesResponder0
SandwichVictim
· 07-20 02:08
Otro proyecto que tomó a la gente por tonta, se escapó, se escapó.
El proyecto Poolz sufrió un ataque de desbordamiento aritmético, perdiendo 665,000 dólares en encriptación.
El proyecto Poolz sufrió un ataque debido a una vulnerabilidad de desbordamiento aritmético, con pérdidas de aproximadamente 66.5 mil dólares.
Recientemente, un ataque dirigido al proyecto Poolz ha llamado la atención de la comunidad de criptomonedas. Según los datos de monitoreo en la cadena, el ataque ocurrió el 15 de marzo de 2023, e involucró a tres redes: Ethereum, BNB Chain y Polygon. El atacante aprovechó una vulnerabilidad de desbordamiento aritmético en el contrato inteligente, logrando robar una gran cantidad de tokens, con un valor total de aproximadamente 665,000 dólares.
Detalles del ataque
Los atacantes llevaron a cabo este ataque a través de los siguientes pasos:
Primero, intercambié una cierta cantidad de tokens MNZ en un intercambio descentralizado.
Luego se llamó a la función CreateMassPools en el contrato de Poolz. Esta función se suponía que permitía a los usuarios crear múltiples grupos de liquidez y proporcionar liquidez inicial, pero contiene una grave vulnerabilidad.
El problema se encuentra en la función getArraySum. Esta función se utiliza para calcular la cantidad de liquidez inicial proporcionada por el usuario, pero no maneja correctamente la situación de desbordamiento de enteros.
El atacante construyó hábilmente los parámetros de entrada, de modo que el array _StartAmount contenía números que superaban el valor máximo de uint256. Esto provocó un desbordamiento en el resultado acumulado, y el valor de retorno final fue 1.
Debido a que el contrato utilizó el valor original de _StartAmount al registrar las propiedades del fondo, en lugar de la cantidad real de tokens transferidos, un atacante solo necesita transferir 1 token para crear un fondo con una liquidez muy superior a la real.
Finalmente, el atacante extrajo una gran cantidad de tokens no autorizados al llamar a la función withdraw, completando así todo el proceso de ataque.
Activos robados
Este ataque resultó en pérdidas para varios tokens, incluyendo pero no limitado a:
Los atacantes han intercambiado parte de los tokens robados por BNB, pero hasta el momento del informe, estos fondos aún no han sido transferidos de la dirección del atacante.
Sugerencias de prevención
Para prevenir vulnerabilidades de desbordamiento aritmético similares, los expertos recomiendan tomar las siguientes medidas:
Utiliza una versión más reciente del compilador de Solidity, estas versiones realizan automáticamente la verificación de desbordamiento durante el proceso de compilación.
Para los proyectos que utilizan versiones más antiguas de Solidity, se recomienda incorporar la biblioteca SafeMath de OpenZeppelin para manejar operaciones enteras y así evitar problemas de desbordamiento.
Realizar una auditoría de código completa, prestando especial atención a las partes que involucran operaciones de gran tamaño.
Implementar una validación de entrada estricta para asegurar que los parámetros proporcionados por el usuario estén dentro de un rango razonable.
Considere agregar mecanismos de seguridad como firmas múltiples o bloqueos temporales en operaciones clave.
Este incidente destaca una vez más la importancia de la seguridad de los contratos inteligentes, recordando a los desarrolladores y a los equipos de proyectos que deben mantenerse siempre alerta y seguir mejorando la seguridad del código. Al mismo tiempo, también recuerda a los usuarios que deben ser especialmente cautelosos al interactuar con proyectos de finanzas descentralizadas, especialmente al participar en proyectos recién lanzados o que no han sido auditados adecuadamente.