Проект Poolz столкнулся с уязвимостью безопасности, затронувшей активы на сумму около 665 тысяч долларов США
Недавно инцидент с безопасностью, связанный с кроссчейн проектом Poolz, привлек внимание в отрасли. Согласно данным мониторинга безопасности блокчейна, 15 марта в полночь умные контракты Poolz в сетях Ethereum, BNB Chain и Polygon подверглись атаке, что привело к ущербу для различных токенов на общую сумму около 66,5 тысячи долларов.
Это событие связано с несколькими токенами, включая MEE, ESNC, DON, ASW, KMON, POOLZ и другие. Злоумышленники воспользовались уязвимостью арифметического переполнения в смарт-контракте, успешно манипулируя процессом создания токенов. В настоящее время часть украденных активов была обменена на BNB, но еще не была переведена с адреса злоумышленника.
Атакующие в основном воспользовались уязвимостью функции CreateMassPools в контракте Poolz. Эта функция изначально предназначалась для массового создания токенов и предоставления первоначальной ликвидности, но в ней имеется проблема переполнения целого числа в функции getArraySum. Атакующие, используя тщательно подобранные входные параметры, заставили сумму превышать пределы типа uint256, что привело к серьезному несоответствию между фактически переведенным количеством токенов и зафиксированным количеством.
Этот уязвимость позволяет злоумышленникам с минимальным количеством токенов вводить в систему большое количество токенов на счету. Затем злоумышленники вызывают функцию withdraw, чтобы вывести эти ложные записи токенов, тем самым завершив весь процесс атаки.
Проблемы с арифметическим переполнением не редкость при разработке смарт-контрактов. Чтобы предотвратить подобные риски, разработчики должны использовать более новые версии языка программирования Solidity, которые автоматически выполняют проверку на переполнение во время компиляции. Для проектов, использующих более старые версии Solidity, рекомендуется внедрить библиотеку SafeMath от OpenZeppelin для обработки целочисленных операций, чтобы избежать риска переполнения.
Это событие снова напомнило командам блокчейн-проектов и разработчикам о том, что при проектировании и реализации смарт-контрактов необходимо уделять особое внимание безопасности. В то же время это подчеркивает важность регулярного проведения аудита безопасности и программ по вознаграждению за уязвимости, чтобы как можно раньше выявлять и устранять потенциальные угрозы безопасности.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
17 Лайков
Награда
17
4
Поделиться
комментарий
0/400
SignatureVerifier
· 08-04 12:54
smh... еще один классический случай недостаточной проверки входных данных
Посмотреть ОригиналОтветить0
CoffeeNFTrader
· 08-04 12:53
Еще один прохладный проект
Посмотреть ОригиналОтветить0
nft_widow
· 08-04 12:50
Еще один проект по разыгрыванию людей как лохов завершился.
Poolz подвергся атаке Хакера, активы на сумму 665000 долларов пострадали.
Проект Poolz столкнулся с уязвимостью безопасности, затронувшей активы на сумму около 665 тысяч долларов США
Недавно инцидент с безопасностью, связанный с кроссчейн проектом Poolz, привлек внимание в отрасли. Согласно данным мониторинга безопасности блокчейна, 15 марта в полночь умные контракты Poolz в сетях Ethereum, BNB Chain и Polygon подверглись атаке, что привело к ущербу для различных токенов на общую сумму около 66,5 тысячи долларов.
Это событие связано с несколькими токенами, включая MEE, ESNC, DON, ASW, KMON, POOLZ и другие. Злоумышленники воспользовались уязвимостью арифметического переполнения в смарт-контракте, успешно манипулируя процессом создания токенов. В настоящее время часть украденных активов была обменена на BNB, но еще не была переведена с адреса злоумышленника.
Атакующие в основном воспользовались уязвимостью функции CreateMassPools в контракте Poolz. Эта функция изначально предназначалась для массового создания токенов и предоставления первоначальной ликвидности, но в ней имеется проблема переполнения целого числа в функции getArraySum. Атакующие, используя тщательно подобранные входные параметры, заставили сумму превышать пределы типа uint256, что привело к серьезному несоответствию между фактически переведенным количеством токенов и зафиксированным количеством.
Этот уязвимость позволяет злоумышленникам с минимальным количеством токенов вводить в систему большое количество токенов на счету. Затем злоумышленники вызывают функцию withdraw, чтобы вывести эти ложные записи токенов, тем самым завершив весь процесс атаки.
Проблемы с арифметическим переполнением не редкость при разработке смарт-контрактов. Чтобы предотвратить подобные риски, разработчики должны использовать более новые версии языка программирования Solidity, которые автоматически выполняют проверку на переполнение во время компиляции. Для проектов, использующих более старые версии Solidity, рекомендуется внедрить библиотеку SafeMath от OpenZeppelin для обработки целочисленных операций, чтобы избежать риска переполнения.
Это событие снова напомнило командам блокчейн-проектов и разработчикам о том, что при проектировании и реализации смарт-контрактов необходимо уделять особое внимание безопасности. В то же время это подчеркивает важность регулярного проведения аудита безопасности и программ по вознаграждению за уязвимости, чтобы как можно раньше выявлять и устранять потенциальные угрозы безопасности.