Poolz sufre un ataque de vulnerabilidad de desbordamiento aritmético, perdiendo casi 670,000 dólares.
Recientemente, un ataque dirigido al proyecto Poolz en múltiples cadenas ha llamado la atención en la industria. Según los datos de monitoreo en la cadena, el ataque ocurrió el 15 de marzo de 2023 y afectó a múltiples cadenas públicas, incluyendo Ethereum, BNB Chain y Polygon.
Este ataque resultó en el robo de una gran cantidad de tokens, incluidos los tokens de varios proyectos como MEE, ESNC, DON, ASW, KMON y POOLZ. Se estima que el valor total de los activos robados es de aproximadamente 665,000 dólares. Actualmente, parte de los tokens robados han sido cambiados por los atacantes a BNB, pero aún no se han transferido fuera de las direcciones controladas por los atacantes.
El análisis muestra que el ataque se aprovechó principalmente de una vulnerabilidad de desbordamiento aritmético en el contrato inteligente del proyecto Poolz. Los atacantes, mediante parámetros de entrada ingeniosamente construidos, activaron el desbordamiento de enteros al crear en masa los grupos de liquidez, logrando así obtener una gran cantidad de liquidez con una cantidad muy pequeña de tokens.
En concreto, el atacante primero intercambió una pequeña cantidad de tokens MNZ en un intercambio descentralizado. Luego, el atacante llamó a la función CreateMassPools en el contrato de Poolz, que permite a los usuarios crear en masa grupos de liquidez y proporcionar liquidez inicial. El problema radica en la función getArraySum, que se utiliza para calcular el total de liquidez inicial proporcionada por el usuario.
El atacante construyó cuidadosamente un arreglo que contenía números extremadamente grandes como parámetros de entrada. Cuando estos números se sumaron, ocurrió un desbordamiento de enteros, lo que resultó en una gran discrepancia entre la cantidad de tokens realmente transferidos y la cantidad registrada. Al final, el atacante solo transfirió 1 token, pero registró un enorme valor de liquidez en el contrato.
Después de completar la operación anterior, el atacante llamó inmediatamente a la función withdraw para retirar fondos, completando así todo el proceso de ataque con facilidad.
Este incidente vuelve a resaltar la peligrosidad del problema de desbordamiento aritmético en los contratos inteligentes. Para prevenir riesgos similares, los expertos de la industria sugieren que los desarrolladores utilicen versiones más recientes del lenguaje de programación Solidity, las cuales realizan automáticamente comprobaciones de desbordamiento durante el proceso de compilación. Para los proyectos que utilizan versiones anteriores de Solidity, se puede considerar la incorporación de bibliotecas de seguridad consolidadas como OpenZeppelin para resolver el problema del desbordamiento de enteros.
Este evento nos recuerda que la seguridad de los contratos siempre es un problema clave que no se puede ignorar en el ecosistema de blockchain. Los desarrolladores de proyectos deben fortalecer continuamente la auditoría de código y las pruebas de seguridad, mientras que los usuarios también deben mantenerse alertas y evaluar cuidadosamente los riesgos asociados al participar en nuevos proyectos.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
18 me gusta
Recompensa
18
5
Compartir
Comentar
0/400
PositionPhobia
· hace17h
Perdí mucho, ni siquiera puedo poner un stop loss.
Ver originalesResponder0
StrawberryIce
· hace17h
¡Con tantos fallos, ¿cuál contrato es confiable?
Ver originalesResponder0
InscriptionGriller
· hace17h
Otro brillante ejemplo de cero COVID, todos los días tomando a la gente por tonta.
Ver originalesResponder0
SeasonedInvestor
· hace17h
¡Otra vez me han esquilmado! ¿Qué contrato están probando?
Ver originalesResponder0
SchrodingersPaper
· hace17h
¿Te han vuelto a sacar dinero? ¡No te olvides de hacer pruebas de sobrecarga en los contratos! ¡Eres un novato total!
Poolz sufre un ataque de desbordamiento aritmético, pérdidas de casi 670,000 dólares en múltiples cadenas.
Poolz sufre un ataque de vulnerabilidad de desbordamiento aritmético, perdiendo casi 670,000 dólares.
Recientemente, un ataque dirigido al proyecto Poolz en múltiples cadenas ha llamado la atención en la industria. Según los datos de monitoreo en la cadena, el ataque ocurrió el 15 de marzo de 2023 y afectó a múltiples cadenas públicas, incluyendo Ethereum, BNB Chain y Polygon.
Este ataque resultó en el robo de una gran cantidad de tokens, incluidos los tokens de varios proyectos como MEE, ESNC, DON, ASW, KMON y POOLZ. Se estima que el valor total de los activos robados es de aproximadamente 665,000 dólares. Actualmente, parte de los tokens robados han sido cambiados por los atacantes a BNB, pero aún no se han transferido fuera de las direcciones controladas por los atacantes.
El análisis muestra que el ataque se aprovechó principalmente de una vulnerabilidad de desbordamiento aritmético en el contrato inteligente del proyecto Poolz. Los atacantes, mediante parámetros de entrada ingeniosamente construidos, activaron el desbordamiento de enteros al crear en masa los grupos de liquidez, logrando así obtener una gran cantidad de liquidez con una cantidad muy pequeña de tokens.
En concreto, el atacante primero intercambió una pequeña cantidad de tokens MNZ en un intercambio descentralizado. Luego, el atacante llamó a la función CreateMassPools en el contrato de Poolz, que permite a los usuarios crear en masa grupos de liquidez y proporcionar liquidez inicial. El problema radica en la función getArraySum, que se utiliza para calcular el total de liquidez inicial proporcionada por el usuario.
El atacante construyó cuidadosamente un arreglo que contenía números extremadamente grandes como parámetros de entrada. Cuando estos números se sumaron, ocurrió un desbordamiento de enteros, lo que resultó en una gran discrepancia entre la cantidad de tokens realmente transferidos y la cantidad registrada. Al final, el atacante solo transfirió 1 token, pero registró un enorme valor de liquidez en el contrato.
Después de completar la operación anterior, el atacante llamó inmediatamente a la función withdraw para retirar fondos, completando así todo el proceso de ataque con facilidad.
Este incidente vuelve a resaltar la peligrosidad del problema de desbordamiento aritmético en los contratos inteligentes. Para prevenir riesgos similares, los expertos de la industria sugieren que los desarrolladores utilicen versiones más recientes del lenguaje de programación Solidity, las cuales realizan automáticamente comprobaciones de desbordamiento durante el proceso de compilación. Para los proyectos que utilizan versiones anteriores de Solidity, se puede considerar la incorporación de bibliotecas de seguridad consolidadas como OpenZeppelin para resolver el problema del desbordamiento de enteros.
Este evento nos recuerda que la seguridad de los contratos siempre es un problema clave que no se puede ignorar en el ecosistema de blockchain. Los desarrolladores de proyectos deben fortalecer continuamente la auditoría de código y las pruebas de seguridad, mientras que los usuarios también deben mantenerse alertas y evaluar cuidadosamente los riesgos asociados al participar en nuevos proyectos.