Le projet Poolz a subi une vulnérabilité de sécurité, environ 665 000 $ d'actifs ont été affectés
Récemment, un incident de sécurité concernant le projet cross-chain Poolz a attiré l'attention de l'industrie. Selon les données de surveillance de la sécurité blockchain, dans la nuit du 15 mars, les contrats intelligents de Poolz sur les réseaux Ethereum, BNB Chain et Polygon ont été attaqués, entraînant des dommages à plusieurs actifs de tokens, pour une valeur totale d'environ 66,5 000 dollars.
Cet incident implique plusieurs jetons, y compris MEE, ESNC, DON, ASW, KMON, POOLZ, etc. Les attaquants ont exploité une vulnérabilité de dépassement arithmétique dans le contrat intelligent pour manipuler avec succès le processus de création du pool de jetons. Actuellement, une partie des actifs volés a été échangée contre des BNB, mais n'a pas encore été transférée de l'adresse de l'attaquant.
Les attaquants ont principalement exploité la vulnérabilité de la fonction CreateMassPools dans le contrat Poolz. Cette fonction était à l'origine utilisée pour créer des pools de jetons en masse et fournir une liquidité initiale, mais la fonction getArraySum présente un problème de dépassement d'entier. Les attaquants, en utilisant des paramètres d'entrée soigneusement construits, ont permis à la somme cumulée de dépasser la plage de type uint256, entraînant une grave discordance entre le nombre de jetons réellement transférés et le nombre enregistré.
Cette vulnérabilité permet aux attaquants d'enregistrer un montant important de soldes de jetons dans le système avec une très petite quantité de jetons en entrée. Par la suite, les attaquants récupèrent ces jetons enregistrés de manière frauduleuse en appelant la fonction withdraw, complétant ainsi l'ensemble du processus d'attaque.
Les problèmes de débordement arithmétique de ce type ne sont pas rares dans le développement de contrats intelligents. Pour prévenir de tels risques, les développeurs devraient utiliser des versions plus récentes du langage de programmation Solidity, qui effectuent automatiquement des vérifications de débordement lors de la compilation. Pour les projets utilisant des versions antérieures de Solidity, il est conseillé d'intégrer la bibliothèque SafeMath d'OpenZeppelin pour gérer les opérations sur les entiers, afin d'éviter les risques de débordement.
Cet événement rappelle une fois de plus aux équipes de projets blockchain et aux développeurs qu'ils doivent accorder une attention particulière à la sécurité lors de la conception et de la mise en œuvre de contrats intelligents. Cela souligne également l'importance d'effectuer des audits de sécurité réguliers et de mettre en place des programmes de récompenses pour les vulnérabilités, afin de détecter et de corriger rapidement les problèmes de sécurité potentiels.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
15 J'aime
Récompense
15
4
Partager
Commentaire
0/400
SignatureVerifier
· Il y a 21h
smh... un autre cas classique de validation d'entrée insuffisante
Voir l'originalRépondre0
CoffeeNFTrader
· Il y a 21h
Encore un projet refroidi
Voir l'originalRépondre0
nft_widow
· Il y a 21h
Encore un projet qui a pris les pigeons pour des idiots.
Poolz a été attaqué par des hackers, 665 000 $ d'actifs ont été perdus.
Le projet Poolz a subi une vulnérabilité de sécurité, environ 665 000 $ d'actifs ont été affectés
Récemment, un incident de sécurité concernant le projet cross-chain Poolz a attiré l'attention de l'industrie. Selon les données de surveillance de la sécurité blockchain, dans la nuit du 15 mars, les contrats intelligents de Poolz sur les réseaux Ethereum, BNB Chain et Polygon ont été attaqués, entraînant des dommages à plusieurs actifs de tokens, pour une valeur totale d'environ 66,5 000 dollars.
Cet incident implique plusieurs jetons, y compris MEE, ESNC, DON, ASW, KMON, POOLZ, etc. Les attaquants ont exploité une vulnérabilité de dépassement arithmétique dans le contrat intelligent pour manipuler avec succès le processus de création du pool de jetons. Actuellement, une partie des actifs volés a été échangée contre des BNB, mais n'a pas encore été transférée de l'adresse de l'attaquant.
Les attaquants ont principalement exploité la vulnérabilité de la fonction CreateMassPools dans le contrat Poolz. Cette fonction était à l'origine utilisée pour créer des pools de jetons en masse et fournir une liquidité initiale, mais la fonction getArraySum présente un problème de dépassement d'entier. Les attaquants, en utilisant des paramètres d'entrée soigneusement construits, ont permis à la somme cumulée de dépasser la plage de type uint256, entraînant une grave discordance entre le nombre de jetons réellement transférés et le nombre enregistré.
Cette vulnérabilité permet aux attaquants d'enregistrer un montant important de soldes de jetons dans le système avec une très petite quantité de jetons en entrée. Par la suite, les attaquants récupèrent ces jetons enregistrés de manière frauduleuse en appelant la fonction withdraw, complétant ainsi l'ensemble du processus d'attaque.
Les problèmes de débordement arithmétique de ce type ne sont pas rares dans le développement de contrats intelligents. Pour prévenir de tels risques, les développeurs devraient utiliser des versions plus récentes du langage de programmation Solidity, qui effectuent automatiquement des vérifications de débordement lors de la compilation. Pour les projets utilisant des versions antérieures de Solidity, il est conseillé d'intégrer la bibliothèque SafeMath d'OpenZeppelin pour gérer les opérations sur les entiers, afin d'éviter les risques de débordement.
Cet événement rappelle une fois de plus aux équipes de projets blockchain et aux développeurs qu'ils doivent accorder une attention particulière à la sécurité lors de la conception et de la mise en œuvre de contrats intelligents. Cela souligne également l'importance d'effectuer des audits de sécurité réguliers et de mettre en place des programmes de récompenses pour les vulnérabilités, afin de détecter et de corriger rapidement les problèmes de sécurité potentiels.