Proyek Poolz Mengalami Kerentanan Keamanan, Sekitar 66,5 Ribu Dolar AS Aset Terpengaruh
Baru-baru ini, sebuah insiden keamanan yang menargetkan proyek lintas rantai Poolz menarik perhatian industri. Menurut data pemantauan keamanan blockchain, pada dini hari 15 Maret, kontrak pintar Poolz di jaringan Ethereum, BNB Chain, dan Polygon diserang, mengakibatkan kerusakan pada berbagai aset token, dengan total nilai sekitar 66,5 ribu dolar.
Peristiwa ini melibatkan berbagai token, termasuk MEE, ESNC, DON, ASW, KMON, POOLZ, dan lainnya. Penyerang memanfaatkan kerentanan overflow aritmatika dalam kontrak pintar, berhasil memanipulasi proses pembuatan kolam token. Saat ini, sebagian aset yang dicuri telah ditukarkan menjadi BNB, tetapi belum dipindahkan dari alamat penyerang.
Penyerang terutama memanfaatkan celah dalam fungsi CreateMassPools kontrak Poolz. Fungsi ini awalnya digunakan untuk membuat kumpulan token secara massal dan menyediakan likuiditas awal, tetapi terdapat masalah overflow integer dalam fungsi getArraySum. Penyerang dengan hati-hati menyusun parameter input, sehingga hasil penjumlahan melebihi rentang tipe uint256, menyebabkan jumlah token yang sebenarnya masuk tidak sesuai dengan jumlah yang tercatat.
Kerentanan ini memungkinkan penyerang untuk mencatat jumlah saldo token yang besar dalam sistem dengan input token yang sangat sedikit. Kemudian, penyerang menarik token palsu yang dicatat tersebut dengan memanggil fungsi withdraw, sehingga menyelesaikan seluruh proses serangan.
Masalah overflow aritmatika seperti ini tidak jarang terjadi dalam pengembangan kontrak pintar. Untuk mencegah risiko serupa, pengembang harus menggunakan versi terbaru dari bahasa pemrograman Solidity, yang secara otomatis akan melakukan pemeriksaan overflow saat kompilasi. Untuk proyek yang menggunakan versi Solidity yang lebih lama, disarankan untuk mengimplementasikan pustaka SafeMath dari OpenZeppelin untuk menangani operasi bilangan bulat, guna menghindari risiko overflow.
Peristiwa ini kembali mengingatkan proyek blockchain dan para pengembang bahwa dalam desain dan implementasi kontrak pintar, keamanan harus menjadi perhatian utama. Selain itu, hal ini juga menyoroti pentingnya melakukan audit keamanan secara berkala dan program reward untuk bug, untuk mendeteksi dan memperbaiki potensi kerentanan keamanan secepat mungkin.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
15 Suka
Hadiah
15
4
Bagikan
Komentar
0/400
SignatureVerifier
· 15jam yang lalu
smh... kasus klasik lainnya dari validasi input yang tidak memadai
Lihat AsliBalas0
CoffeeNFTrader
· 15jam yang lalu
Sebuah proyek yang sudah dingin lagi
Lihat AsliBalas0
nft_widow
· 15jam yang lalu
Sekali lagi proyek pemotongan suckers telah selesai.
Poolz diserang Hacker, aset senilai 66,5 ribu dolar AS terkena dampak
Proyek Poolz Mengalami Kerentanan Keamanan, Sekitar 66,5 Ribu Dolar AS Aset Terpengaruh
Baru-baru ini, sebuah insiden keamanan yang menargetkan proyek lintas rantai Poolz menarik perhatian industri. Menurut data pemantauan keamanan blockchain, pada dini hari 15 Maret, kontrak pintar Poolz di jaringan Ethereum, BNB Chain, dan Polygon diserang, mengakibatkan kerusakan pada berbagai aset token, dengan total nilai sekitar 66,5 ribu dolar.
Peristiwa ini melibatkan berbagai token, termasuk MEE, ESNC, DON, ASW, KMON, POOLZ, dan lainnya. Penyerang memanfaatkan kerentanan overflow aritmatika dalam kontrak pintar, berhasil memanipulasi proses pembuatan kolam token. Saat ini, sebagian aset yang dicuri telah ditukarkan menjadi BNB, tetapi belum dipindahkan dari alamat penyerang.
Penyerang terutama memanfaatkan celah dalam fungsi CreateMassPools kontrak Poolz. Fungsi ini awalnya digunakan untuk membuat kumpulan token secara massal dan menyediakan likuiditas awal, tetapi terdapat masalah overflow integer dalam fungsi getArraySum. Penyerang dengan hati-hati menyusun parameter input, sehingga hasil penjumlahan melebihi rentang tipe uint256, menyebabkan jumlah token yang sebenarnya masuk tidak sesuai dengan jumlah yang tercatat.
Kerentanan ini memungkinkan penyerang untuk mencatat jumlah saldo token yang besar dalam sistem dengan input token yang sangat sedikit. Kemudian, penyerang menarik token palsu yang dicatat tersebut dengan memanggil fungsi withdraw, sehingga menyelesaikan seluruh proses serangan.
Masalah overflow aritmatika seperti ini tidak jarang terjadi dalam pengembangan kontrak pintar. Untuk mencegah risiko serupa, pengembang harus menggunakan versi terbaru dari bahasa pemrograman Solidity, yang secara otomatis akan melakukan pemeriksaan overflow saat kompilasi. Untuk proyek yang menggunakan versi Solidity yang lebih lama, disarankan untuk mengimplementasikan pustaka SafeMath dari OpenZeppelin untuk menangani operasi bilangan bulat, guna menghindari risiko overflow.
Peristiwa ini kembali mengingatkan proyek blockchain dan para pengembang bahwa dalam desain dan implementasi kontrak pintar, keamanan harus menjadi perhatian utama. Selain itu, hal ini juga menyoroti pentingnya melakukan audit keamanan secara berkala dan program reward untuk bug, untuk mendeteksi dan memperbaiki potensi kerentanan keamanan secepat mungkin.