Poolz sofre ataque de estouro aritmético, perdendo cerca de 665K dólares
Recentemente, um ataque à plataforma Poolz chamou a atenção da comunidade de criptomoedas. Os atacantes exploraram uma vulnerabilidade de estouro aritmético em um contrato inteligente e conseguiram roubar cerca de 665 mil dólares em ativos criptográficos de várias redes, incluindo Ethereum, BNB Chain e Polygon.
De acordo com os dados on-chain, este ataque ocorreu em 15 de março de 2023 e envolveu vários tokens, incluindo MEE, ESNC, DON, ASW, KMON, POOLZ, entre outros. O atacante explorou uma vulnerabilidade na função CreateMassPools da plataforma Poolz através de uma manobra astuta.
O problema central do ataque reside na função getArraySum. Esta função deveria ser usada para calcular a liquidez inicial quando os usuários criam em massa pools, mas devido a um estouro de inteiro, o atacante consegue criar pools com uma grande quantidade de liquidez falsa apenas transferindo uma quantidade muito pequena de tokens. Em seguida, o atacante retirou a quantidade de tokens erroneamente registrada através da função withdraw.
A análise técnica mostra que os atacantes primeiro trocaram uma pequena quantidade de tokens MNZ em uma determinada exchange descentralizada. Em seguida, eles chamaram a função CreateMassPools, que tinha uma vulnerabilidade, passando parâmetros cuidadosamente elaborados que fizeram com que o array _StartAmount superasse o valor máximo de uint256 durante a soma, resultando em um estouro. Isso fez com que o sistema acreditasse que os atacantes tinham fornecido uma grande quantidade de liquidez, enquanto na realidade apenas transferiram 1 token.
Para evitar que esses problemas ocorram novamente, especialistas da indústria sugerem que os desenvolvedores usem versões mais recentes da linguagem de programação Solidity, que realizam automaticamente verificações de estouro durante o processo de compilação. Para projetos que utilizam versões antigas do Solidity, recomenda-se a introdução da biblioteca SafeMath da OpenZeppelin para lidar com operações inteiras, a fim de evitar o risco de estouro.
Este evento destaca novamente a importância da auditoria de segurança de contratos inteligentes. Com o contínuo desenvolvimento do ecossistema de finanças descentralizadas (DeFi), as equipes de projeto precisam dar mais atenção à segurança do código, realizar verificações de segurança regularmente e corrigir prontamente as vulnerabilidades potenciais para proteger a segurança dos ativos dos usuários.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
16 Curtidas
Recompensa
16
3
Repostar
Compartilhar
Comentário
0/400
token_therapist
· 15h atrás
Brincando com as velhas armadilhas de sempre.
Ver originalResponder0
faded_wojak.eth
· 16h atrás
Outra empresa condenada, sad
Ver originalResponder0
LiquidatedTwice
· 16h atrás
Outra vez a vulnerabilidade dos contratos inteligentes
Poolz sofre ataque de estouro aritmético, perdas de 66,5 mil dólares em múltiplas cadeias
Poolz sofre ataque de estouro aritmético, perdendo cerca de 665K dólares
Recentemente, um ataque à plataforma Poolz chamou a atenção da comunidade de criptomoedas. Os atacantes exploraram uma vulnerabilidade de estouro aritmético em um contrato inteligente e conseguiram roubar cerca de 665 mil dólares em ativos criptográficos de várias redes, incluindo Ethereum, BNB Chain e Polygon.
De acordo com os dados on-chain, este ataque ocorreu em 15 de março de 2023 e envolveu vários tokens, incluindo MEE, ESNC, DON, ASW, KMON, POOLZ, entre outros. O atacante explorou uma vulnerabilidade na função CreateMassPools da plataforma Poolz através de uma manobra astuta.
O problema central do ataque reside na função getArraySum. Esta função deveria ser usada para calcular a liquidez inicial quando os usuários criam em massa pools, mas devido a um estouro de inteiro, o atacante consegue criar pools com uma grande quantidade de liquidez falsa apenas transferindo uma quantidade muito pequena de tokens. Em seguida, o atacante retirou a quantidade de tokens erroneamente registrada através da função withdraw.
A análise técnica mostra que os atacantes primeiro trocaram uma pequena quantidade de tokens MNZ em uma determinada exchange descentralizada. Em seguida, eles chamaram a função CreateMassPools, que tinha uma vulnerabilidade, passando parâmetros cuidadosamente elaborados que fizeram com que o array _StartAmount superasse o valor máximo de uint256 durante a soma, resultando em um estouro. Isso fez com que o sistema acreditasse que os atacantes tinham fornecido uma grande quantidade de liquidez, enquanto na realidade apenas transferiram 1 token.
Para evitar que esses problemas ocorram novamente, especialistas da indústria sugerem que os desenvolvedores usem versões mais recentes da linguagem de programação Solidity, que realizam automaticamente verificações de estouro durante o processo de compilação. Para projetos que utilizam versões antigas do Solidity, recomenda-se a introdução da biblioteca SafeMath da OpenZeppelin para lidar com operações inteiras, a fim de evitar o risco de estouro.
Este evento destaca novamente a importância da auditoria de segurança de contratos inteligentes. Com o contínuo desenvolvimento do ecossistema de finanças descentralizadas (DeFi), as equipes de projeto precisam dar mais atenção à segurança do código, realizar verificações de segurança regularmente e corrigir prontamente as vulnerabilidades potenciais para proteger a segurança dos ativos dos usuários.