Poolz mengalami serangan celah overflow aritmatika, dengan kerugian hampir 670.000 dolar AS
Baru-baru ini, sebuah insiden serangan terhadap proyek Poolz yang multi-rantai menarik perhatian luas di industri. Menurut data pemantauan di blockchain, serangan tersebut terjadi pada 15 Maret 2023, melibatkan beberapa blockchain publik seperti Ethereum, BNB Chain, dan Polygon.
Serangan ini mengakibatkan banyak token dicuri, termasuk token dari beberapa proyek seperti MEE, ESNC, DON, ASW, KMON, dan POOLZ. Perkiraan awal menunjukkan bahwa total nilai aset yang dicuri sekitar 665.000 dolar AS. Saat ini, sebagian token yang dicuri telah ditukarkan oleh penyerang menjadi BNB, tetapi belum dipindahkan dari alamat yang dikendalikan oleh penyerang.
Analisis menunjukkan bahwa serangan kali ini terutama memanfaatkan kerentanan overflow aritmatika dalam kontrak pintar proyek Poolz. Penyerang dengan cerdik menyusun parameter input yang memicu overflow integer saat membuat kolam likuiditas secara massal, sehingga mencapai tujuan mendapatkan likuiditas dalam jumlah besar dengan jumlah token yang sangat sedikit.
Secara spesifik, penyerang pertama-tama menukarkan sejumlah kecil token MNZ di suatu bursa terdesentralisasi. Selanjutnya, penyerang memanggil fungsi CreateMassPools dalam kontrak Poolz, yang memungkinkan pengguna untuk secara massal membuat kolam likuiditas dan menyediakan likuiditas awal. Masalah terletak pada fungsi getArraySum, yang digunakan untuk menghitung total likuiditas awal yang disediakan oleh pengguna.
Penyerang dengan cermat membangun sebuah array yang berisi nilai-nilai besar sebagai parameter input. Ketika nilai-nilai ini dijumlahkan, terjadi overflow integer, yang menyebabkan perbedaan besar antara jumlah token yang sebenarnya ditransfer dan jumlah yang tercatat. Akhirnya, penyerang hanya mentransfer 1 token, tetapi mencatat nilai likuiditas yang sangat besar dalam kontrak.
Setelah menyelesaikan langkah-langkah di atas, penyerang segera memanggil fungsi withdraw untuk menarik dana, dengan mudah menyelesaikan seluruh proses serangan.
Kejadian ini sekali lagi menyoroti bahaya masalah overflow aritmetika dalam kontrak pintar. Untuk mencegah risiko serupa, para ahli di industri menyarankan pengembang untuk menggunakan versi terbaru dari bahasa pemrograman Solidity, yang secara otomatis melakukan pemeriksaan overflow selama proses kompilasi. Untuk proyek yang menggunakan versi Solidity yang lebih lama, dapat dipertimbangkan untuk memperkenalkan pustaka keamanan yang sudah matang seperti OpenZeppelin untuk mengatasi masalah overflow integer.
Peristiwa ini mengingatkan kita bahwa keamanan kontrak selalu menjadi masalah kunci yang tidak boleh diabaikan dalam ekosistem blockchain. Pihak proyek perlu terus meningkatkan audit kode dan pengujian keamanan, sementara pengguna juga harus tetap waspada dan dengan hati-hati mengevaluasi risiko yang terkait saat berpartisipasi dalam proyek baru.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
18 Suka
Hadiah
18
5
Bagikan
Komentar
0/400
PositionPhobia
· 19jam yang lalu
Rugi besar, stop loss bahkan tidak bisa ditetapkan.
Lihat AsliBalas0
StrawberryIce
· 19jam yang lalu
Bocor dan bocor lagi, kontrak mana yang dapat dipercaya!
Lihat AsliBalas0
InscriptionGriller
· 19jam yang lalu
Satu lagi contoh pembersihan yang menawan, setiap hari dimainkan orang untuk dijadikan korban.
Lihat AsliBalas0
SeasonedInvestor
· 19jam yang lalu
Sudah dirugikan lagi! Kontrak apa yang diuji?
Lihat AsliBalas0
SchrodingersPaper
· 19jam yang lalu
Kena lagi ya? Main kontrak tapi belum overflow testing! Terlalu pemula!
Poolz diserang dengan serangan overflow aritmatika, menyebabkan kerugian hampir 67 ribu dolar AS di berbagai rantai.
Poolz mengalami serangan celah overflow aritmatika, dengan kerugian hampir 670.000 dolar AS
Baru-baru ini, sebuah insiden serangan terhadap proyek Poolz yang multi-rantai menarik perhatian luas di industri. Menurut data pemantauan di blockchain, serangan tersebut terjadi pada 15 Maret 2023, melibatkan beberapa blockchain publik seperti Ethereum, BNB Chain, dan Polygon.
Serangan ini mengakibatkan banyak token dicuri, termasuk token dari beberapa proyek seperti MEE, ESNC, DON, ASW, KMON, dan POOLZ. Perkiraan awal menunjukkan bahwa total nilai aset yang dicuri sekitar 665.000 dolar AS. Saat ini, sebagian token yang dicuri telah ditukarkan oleh penyerang menjadi BNB, tetapi belum dipindahkan dari alamat yang dikendalikan oleh penyerang.
Analisis menunjukkan bahwa serangan kali ini terutama memanfaatkan kerentanan overflow aritmatika dalam kontrak pintar proyek Poolz. Penyerang dengan cerdik menyusun parameter input yang memicu overflow integer saat membuat kolam likuiditas secara massal, sehingga mencapai tujuan mendapatkan likuiditas dalam jumlah besar dengan jumlah token yang sangat sedikit.
Secara spesifik, penyerang pertama-tama menukarkan sejumlah kecil token MNZ di suatu bursa terdesentralisasi. Selanjutnya, penyerang memanggil fungsi CreateMassPools dalam kontrak Poolz, yang memungkinkan pengguna untuk secara massal membuat kolam likuiditas dan menyediakan likuiditas awal. Masalah terletak pada fungsi getArraySum, yang digunakan untuk menghitung total likuiditas awal yang disediakan oleh pengguna.
Penyerang dengan cermat membangun sebuah array yang berisi nilai-nilai besar sebagai parameter input. Ketika nilai-nilai ini dijumlahkan, terjadi overflow integer, yang menyebabkan perbedaan besar antara jumlah token yang sebenarnya ditransfer dan jumlah yang tercatat. Akhirnya, penyerang hanya mentransfer 1 token, tetapi mencatat nilai likuiditas yang sangat besar dalam kontrak.
Setelah menyelesaikan langkah-langkah di atas, penyerang segera memanggil fungsi withdraw untuk menarik dana, dengan mudah menyelesaikan seluruh proses serangan.
Kejadian ini sekali lagi menyoroti bahaya masalah overflow aritmetika dalam kontrak pintar. Untuk mencegah risiko serupa, para ahli di industri menyarankan pengembang untuk menggunakan versi terbaru dari bahasa pemrograman Solidity, yang secara otomatis melakukan pemeriksaan overflow selama proses kompilasi. Untuk proyek yang menggunakan versi Solidity yang lebih lama, dapat dipertimbangkan untuk memperkenalkan pustaka keamanan yang sudah matang seperti OpenZeppelin untuk mengatasi masalah overflow integer.
Peristiwa ini mengingatkan kita bahwa keamanan kontrak selalu menjadi masalah kunci yang tidak boleh diabaikan dalam ekosistem blockchain. Pihak proyek perlu terus meningkatkan audit kode dan pengujian keamanan, sementara pengguna juga harus tetap waspada dan dengan hati-hati mengevaluasi risiko yang terkait saat berpartisipasi dalam proyek baru.