Projeto Poolz enfrenta vulnerabilidade de segurança, cerca de 665 mil dólares em ativos afetados
Recentemente, um incidente de segurança envolvendo o projeto de cross-chain Poolz chamou a atenção da indústria. De acordo com os dados de monitoramento de segurança de blockchain, na madrugada de 15 de março, os contratos inteligentes do Poolz nas redes Ethereum, BNB Chain e Polygon foram atacados, resultando em danos a vários ativos de tokens, com um valor total de cerca de 66,5 mil dólares.
Este incidente envolve vários tokens, incluindo MEE, ESNC, DON, ASW, KMON, POOLZ, entre outros. Os atacantes exploraram uma vulnerabilidade de estouro aritmético em um contrato inteligente para manipular com sucesso o processo de criação do pool de tokens. Atualmente, parte dos ativos roubados já foi trocada por BNB, mas ainda não foi transferida para fora do endereço dos atacantes.
Os atacantes exploraram uma vulnerabilidade na função CreateMassPools do contrato Poolz. Esta função era originalmente utilizada para criar pools de tokens em massa e fornecer liquidez inicial, mas a função getArraySum apresentava um problema de estouro de inteiro. Os atacantes, através de parâmetros de entrada cuidadosamente elaborados, fizeram com que o resultado da soma excedesse o intervalo do tipo uint256, resultando em uma discrepância grave entre a quantidade de tokens realmente transferidos e a quantidade registrada.
Esta vulnerabilidade permite que um atacante registre um grande saldo de tokens no sistema com uma quantidade mínima de tokens de entrada. Em seguida, o atacante chama a função withdraw para retirar esses tokens registrados falsamente, completando assim todo o processo de ataque.
Problemas de estouro aritmético como este não são raros no desenvolvimento de contratos inteligentes. Para evitar riscos semelhantes, os desenvolvedores devem usar versões mais recentes da linguagem de programação Solidity, que realizam verificações de estouro automaticamente durante a compilação. Para projetos que utilizam versões anteriores da Solidity, recomenda-se a introdução da biblioteca SafeMath da OpenZeppelin para lidar com operações inteiras, a fim de evitar riscos de estouro.
Este evento lembrou mais uma vez aos projetos de blockchain e aos desenvolvedores que devem ter um cuidado especial com a segurança durante o design e a implementação de contratos inteligentes. Ao mesmo tempo, destacou a importância de realizar auditorias de segurança regulares e programas de recompensas por vulnerabilidades, para identificar e corrigir precocemente potenciais riscos de segurança.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
16 gostos
Recompensa
16
4
Partilhar
Comentar
0/400
SignatureVerifier
· 08-04 12:54
smh... mais um caso clássico de validação de entrada insuficiente
Ver originalResponder0
CoffeeNFTrader
· 08-04 12:53
Mais um projeto frio.
Ver originalResponder0
nft_widow
· 08-04 12:50
Outro projeto de fazer as pessoas de parvas acabou.
Poolz foi atacado por hackers, resultando na perda de 665 mil dólares em ativos.
Projeto Poolz enfrenta vulnerabilidade de segurança, cerca de 665 mil dólares em ativos afetados
Recentemente, um incidente de segurança envolvendo o projeto de cross-chain Poolz chamou a atenção da indústria. De acordo com os dados de monitoramento de segurança de blockchain, na madrugada de 15 de março, os contratos inteligentes do Poolz nas redes Ethereum, BNB Chain e Polygon foram atacados, resultando em danos a vários ativos de tokens, com um valor total de cerca de 66,5 mil dólares.
Este incidente envolve vários tokens, incluindo MEE, ESNC, DON, ASW, KMON, POOLZ, entre outros. Os atacantes exploraram uma vulnerabilidade de estouro aritmético em um contrato inteligente para manipular com sucesso o processo de criação do pool de tokens. Atualmente, parte dos ativos roubados já foi trocada por BNB, mas ainda não foi transferida para fora do endereço dos atacantes.
Os atacantes exploraram uma vulnerabilidade na função CreateMassPools do contrato Poolz. Esta função era originalmente utilizada para criar pools de tokens em massa e fornecer liquidez inicial, mas a função getArraySum apresentava um problema de estouro de inteiro. Os atacantes, através de parâmetros de entrada cuidadosamente elaborados, fizeram com que o resultado da soma excedesse o intervalo do tipo uint256, resultando em uma discrepância grave entre a quantidade de tokens realmente transferidos e a quantidade registrada.
Esta vulnerabilidade permite que um atacante registre um grande saldo de tokens no sistema com uma quantidade mínima de tokens de entrada. Em seguida, o atacante chama a função withdraw para retirar esses tokens registrados falsamente, completando assim todo o processo de ataque.
Problemas de estouro aritmético como este não são raros no desenvolvimento de contratos inteligentes. Para evitar riscos semelhantes, os desenvolvedores devem usar versões mais recentes da linguagem de programação Solidity, que realizam verificações de estouro automaticamente durante a compilação. Para projetos que utilizam versões anteriores da Solidity, recomenda-se a introdução da biblioteca SafeMath da OpenZeppelin para lidar com operações inteiras, a fim de evitar riscos de estouro.
Este evento lembrou mais uma vez aos projetos de blockchain e aos desenvolvedores que devem ter um cuidado especial com a segurança durante o design e a implementação de contratos inteligentes. Ao mesmo tempo, destacou a importância de realizar auditorias de segurança regulares e programas de recompensas por vulnerabilidades, para identificar e corrigir precocemente potenciais riscos de segurança.