Poolz sufre un ataque de vulnerabilidad de desbordamiento aritmético, con una pérdida de aproximadamente 66.5 mil dólares.
En la madrugada del 15 de marzo de 2023, Poolz sufrió un ataque en las redes de Ethereum, BNB Chain y Polygon, lo que resultó en la pérdida de varios activos de tokens, con un valor total de aproximadamente 665,000 dólares. Los atacantes aprovecharon una vulnerabilidad de desbordamiento aritmético en el contrato inteligente, logrando eludir las restricciones de transferencia de fondos.
Según el monitoreo de datos en la cadena, este ataque involucra múltiples tokens, incluidos MEE, ESNC, DON, ASW, KMON, POOLZ, entre otros. El atacante ha intercambiado algunos de los tokens obtenidos por BNB, pero actualmente estos fondos no se han transferido.
El proceso de ataque se divide principalmente en tres pasos:
El atacante primero intercambió una pequeña cantidad de tokens MNZ a través de un DEX.
Luego se llamó a la función CreateMassPools en el contrato de Poolz. Esta función debería haberse utilizado para crear en masa pools de liquidez y proporcionar liquidez inicial, pero presenta una vulnerabilidad crítica.
La vulnerabilidad se encuentra en la función getArraySum. Esta función suma al recorrer el array _StartAmount, pero no considera la posibilidad de desbordamiento. Un atacante ha construido cuidadosamente un array que provoca un desbordamiento de uint256, haciendo que el valor de retorno de la función sea 1, mientras que el _StartAmount registrado es en realidad un número enorme.
Por último, el atacante llama a la función withdraw para retirar fondos, completando así todo el proceso de ataque.
Este incidente destaca nuevamente la peligrosidad del problema de desbordamiento aritmético en los contratos inteligentes. Para prevenir ataques similares, los desarrolladores deben considerar las siguientes recomendaciones:
Utiliza una versión más reciente del compilador de Solidity, que incorpora un mecanismo de verificación de desbordamiento.
En versiones anteriores de Solidity, se pueden introducir bibliotecas de seguridad de terceros como SafeMath de OpenZeppelin para manejar operaciones de enteros.
Realizar una auditoría de código completa, prestando especial atención a las partes que involucran cálculos matemáticos.
Implementar medidas de seguridad adicionales como la firma múltiple para añadir una capa de protección a las operaciones críticas.
Este evento nos recuerda una vez más que en el ecosistema de blockchain, el código es ley. El equipo de desarrollo debe mantenerse siempre alerta, mejorando constantemente las prácticas de seguridad para proteger los activos de los usuarios y la reputación del proyecto.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
17 me gusta
Recompensa
17
6
Compartir
Comentar
0/400
DataPickledFish
· 08-05 23:17
típico novato escritor de contratos
Ver originalesResponder0
AltcoinMarathoner
· 08-05 22:20
Otro obstáculo en la maratón DeFi
Ver originalesResponder0
TokenVelocity
· 08-05 22:19
¿Por qué nuestra protección es tan deficiente?
Ver originalesResponder0
ImpermanentPhobia
· 08-05 22:10
El contrato tiene otro agujero, desbordamiento.
Ver originalesResponder0
ForkYouPayMe
· 08-05 22:06
Otro ejemplo de desbordamiento aritmético
Ver originalesResponder0
degenonymous
· 08-05 21:52
Las vulnerabilidades de los contratos son difíciles de prevenir.
Poolz sufre un ataque de desbordamiento aritmético con pérdidas de 665,000 dólares. Activos multichain afectados.
Poolz sufre un ataque de vulnerabilidad de desbordamiento aritmético, con una pérdida de aproximadamente 66.5 mil dólares.
En la madrugada del 15 de marzo de 2023, Poolz sufrió un ataque en las redes de Ethereum, BNB Chain y Polygon, lo que resultó en la pérdida de varios activos de tokens, con un valor total de aproximadamente 665,000 dólares. Los atacantes aprovecharon una vulnerabilidad de desbordamiento aritmético en el contrato inteligente, logrando eludir las restricciones de transferencia de fondos.
Según el monitoreo de datos en la cadena, este ataque involucra múltiples tokens, incluidos MEE, ESNC, DON, ASW, KMON, POOLZ, entre otros. El atacante ha intercambiado algunos de los tokens obtenidos por BNB, pero actualmente estos fondos no se han transferido.
El proceso de ataque se divide principalmente en tres pasos:
El atacante primero intercambió una pequeña cantidad de tokens MNZ a través de un DEX.
Luego se llamó a la función CreateMassPools en el contrato de Poolz. Esta función debería haberse utilizado para crear en masa pools de liquidez y proporcionar liquidez inicial, pero presenta una vulnerabilidad crítica.
La vulnerabilidad se encuentra en la función getArraySum. Esta función suma al recorrer el array _StartAmount, pero no considera la posibilidad de desbordamiento. Un atacante ha construido cuidadosamente un array que provoca un desbordamiento de uint256, haciendo que el valor de retorno de la función sea 1, mientras que el _StartAmount registrado es en realidad un número enorme.
Por último, el atacante llama a la función withdraw para retirar fondos, completando así todo el proceso de ataque.
Este incidente destaca nuevamente la peligrosidad del problema de desbordamiento aritmético en los contratos inteligentes. Para prevenir ataques similares, los desarrolladores deben considerar las siguientes recomendaciones:
Utiliza una versión más reciente del compilador de Solidity, que incorpora un mecanismo de verificación de desbordamiento.
En versiones anteriores de Solidity, se pueden introducir bibliotecas de seguridad de terceros como SafeMath de OpenZeppelin para manejar operaciones de enteros.
Realizar una auditoría de código completa, prestando especial atención a las partes que involucran cálculos matemáticos.
Implementar medidas de seguridad adicionales como la firma múltiple para añadir una capa de protección a las operaciones críticas.
Este evento nos recuerda una vez más que en el ecosistema de blockchain, el código es ley. El equipo de desarrollo debe mantenerse siempre alerta, mejorando constantemente las prácticas de seguridad para proteger los activos de los usuarios y la reputación del proyecto.