Poolz subit une attaque par dépassement arithmétique, perte d'environ 66,5 milliers de dollars.
Récemment, un incident d'attaque ciblant Poolz s'est produit sur les réseaux Ethereum, Binance Smart Chain et Polygon. Selon la surveillance des données sur la chaîne, l'attaque a eu lieu le 15 mars 2023 à 3h16 UTC (. Cette attaque a impliqué plusieurs tokens, y compris MEE, ESNC, DON, ASW, KMON, POOLZ, avec une perte totale d'environ 665 000 dollars.
![Poolz a subi une attaque en raison d'un problème de dépassement d'entier, avec des pertes d'environ 665K dollars !])https://img-cdn.gateio.im/webp-social/moments-974bc1b1f017458e935bb53bf55cef3e.webp(
L'attaquant a exploité une vulnérabilité de débordement arithmétique dans le contrat intelligent Poolz. Plus précisément, le problème se situe dans la fonction getArraySum de la fonction CreateMassPools. Cette fonction ne parvient pas à gérer correctement les situations de débordement causées par l'addition de grands nombres lors du calcul de la liquidité initiale fournie par l'utilisateur pour la création en masse de pools.
Le processus d'attaque est le suivant :
L'attaquant a d'abord échangé une petite quantité de jetons MNZ sur un échange décentralisé.
Ensuite, appelez la fonction CreateMassPools en passant des paramètres soigneusement construits. Le tableau _StartAmount contient deux valeurs : un grand nombre proche de la limite supérieure de uint256, et un nombre normal de jetons.
En raison de l'opération d'addition dans la fonction getArraySum qui entraîne un débordement, la valeur de retour finale est 1. Cependant, le contrat utilise toujours la valeur _StartAmount d'origine lors de l'enregistrement des attributs du pool.
Cela a conduit les attaquants à ne transférer qu'un seul jeton, tout en enregistrant une énorme quantité de liquidité dans le contrat.
Enfin, l'attaquant appelle la fonction withdraw pour retirer des jetons et terminer l'attaque.
![Poolz a subi une attaque en raison d'un problème de débordement arithmétique, entraînant une perte d'environ 665K dollars !])https://img-cdn.gateio.im/webp-social/moments-7726863222e36bd3db4e3408503ba81c.webp(
Pour éviter que ce genre de problème ne se reproduise, il est conseillé aux développeurs de prendre les mesures suivantes :
Utilisez une version plus récente du compilateur Solidity, ces versions effectuent automatiquement des vérifications de dépassement.
Si vous devez utiliser une ancienne version de Solidity, vous pouvez introduire des bibliothèques de sécurité tierces pour gérer les opérations sur les entiers, comme la bibliothèque SafeMath d'OpenZeppelin.
Lors du traitement des entrées utilisateur, en particulier dans les scénarios impliquant des calculs de grands nombres, une vérification stricte des limites et un traitement des exceptions doivent être effectués.
Effectuer des audits de code réguliers, en accordant une attention particulière aux parties susceptibles d'impliquer des débordements d'entiers.
Envisagez d'introduire des mécanismes tels que des signatures multiples ou des verrous temporels pour gagner du temps en cas d'urgence.
![Poolz a subi une attaque en raison d'un problème de débordement arithmétique, avec une perte d'environ 665K dollars !])https://img-cdn.gateio.im/webp-social/moments-207e83ef73f5ece4adee71f4f42674f3.webp(
Cet incident nous rappelle une fois de plus que la sécurité doit toujours être la priorité dans le développement de contrats intelligents. Même les opérations arithmétiques apparemment simples peuvent devenir des points d'entrée exploités par des attaquants.
![Poolz a été attaqué en raison d'un problème de débordement arithmétique, avec une perte d'environ 665K dollars !])https://img-cdn.gateio.im/webp-social/moments-915eae1e1853f3d04d16dbac2b8c504a.webp(
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
16 J'aime
Récompense
16
4
Partager
Commentaire
0/400
zkProofInThePudding
· 07-31 01:15
Trop noir et trop de pertes, c'est vraiment nul.
Voir l'originalRépondre0
DaisyUnicorn
· 07-31 01:15
Voyons le grand spectacle des petites fleurs de vulnérabilité qui s'épanouissent~ Encore un pot de miel qui déborde, déborde, déborde.
Voir l'originalRépondre0
CryptoPhoenix
· 07-31 01:14
Un autre projet s'effondre... Il faudra du temps pour restaurer la confiance [翻白眼] mais le marché saura toujours se reconstruire!
Voir l'originalRépondre0
ChainWanderingPoet
· 07-31 00:55
66w...Je ne peux même plus écrire de poèmes sur l'odeur du cuivre.
Poolz subit une attaque par débordement arithmétique avec une perte de 665 000 $. Plusieurs actifs multichaînes sont affectés.
Poolz subit une attaque par dépassement arithmétique, perte d'environ 66,5 milliers de dollars.
Récemment, un incident d'attaque ciblant Poolz s'est produit sur les réseaux Ethereum, Binance Smart Chain et Polygon. Selon la surveillance des données sur la chaîne, l'attaque a eu lieu le 15 mars 2023 à 3h16 UTC (. Cette attaque a impliqué plusieurs tokens, y compris MEE, ESNC, DON, ASW, KMON, POOLZ, avec une perte totale d'environ 665 000 dollars.
![Poolz a subi une attaque en raison d'un problème de dépassement d'entier, avec des pertes d'environ 665K dollars !])https://img-cdn.gateio.im/webp-social/moments-974bc1b1f017458e935bb53bf55cef3e.webp(
L'attaquant a exploité une vulnérabilité de débordement arithmétique dans le contrat intelligent Poolz. Plus précisément, le problème se situe dans la fonction getArraySum de la fonction CreateMassPools. Cette fonction ne parvient pas à gérer correctement les situations de débordement causées par l'addition de grands nombres lors du calcul de la liquidité initiale fournie par l'utilisateur pour la création en masse de pools.
Le processus d'attaque est le suivant :
L'attaquant a d'abord échangé une petite quantité de jetons MNZ sur un échange décentralisé.
Ensuite, appelez la fonction CreateMassPools en passant des paramètres soigneusement construits. Le tableau _StartAmount contient deux valeurs : un grand nombre proche de la limite supérieure de uint256, et un nombre normal de jetons.
En raison de l'opération d'addition dans la fonction getArraySum qui entraîne un débordement, la valeur de retour finale est 1. Cependant, le contrat utilise toujours la valeur _StartAmount d'origine lors de l'enregistrement des attributs du pool.
Cela a conduit les attaquants à ne transférer qu'un seul jeton, tout en enregistrant une énorme quantité de liquidité dans le contrat.
Enfin, l'attaquant appelle la fonction withdraw pour retirer des jetons et terminer l'attaque.
![Poolz a subi une attaque en raison d'un problème de débordement arithmétique, entraînant une perte d'environ 665K dollars !])https://img-cdn.gateio.im/webp-social/moments-7726863222e36bd3db4e3408503ba81c.webp(
Pour éviter que ce genre de problème ne se reproduise, il est conseillé aux développeurs de prendre les mesures suivantes :
Utilisez une version plus récente du compilateur Solidity, ces versions effectuent automatiquement des vérifications de dépassement.
Si vous devez utiliser une ancienne version de Solidity, vous pouvez introduire des bibliothèques de sécurité tierces pour gérer les opérations sur les entiers, comme la bibliothèque SafeMath d'OpenZeppelin.
Lors du traitement des entrées utilisateur, en particulier dans les scénarios impliquant des calculs de grands nombres, une vérification stricte des limites et un traitement des exceptions doivent être effectués.
Effectuer des audits de code réguliers, en accordant une attention particulière aux parties susceptibles d'impliquer des débordements d'entiers.
Envisagez d'introduire des mécanismes tels que des signatures multiples ou des verrous temporels pour gagner du temps en cas d'urgence.
![Poolz a subi une attaque en raison d'un problème de débordement arithmétique, avec une perte d'environ 665K dollars !])https://img-cdn.gateio.im/webp-social/moments-207e83ef73f5ece4adee71f4f42674f3.webp(
Cet incident nous rappelle une fois de plus que la sécurité doit toujours être la priorité dans le développement de contrats intelligents. Même les opérations arithmétiques apparemment simples peuvent devenir des points d'entrée exploités par des attaquants.
![Poolz a été attaqué en raison d'un problème de débordement arithmétique, avec une perte d'environ 665K dollars !])https://img-cdn.gateio.im/webp-social/moments-915eae1e1853f3d04d16dbac2b8c504a.webp(