Poolz подвергся атаке, убытки составили около 665 000 долларов США
Недавно платформа Poolz столкнулась с серьезным инцидентом безопасности, который привел к потерям примерно в 665 000 долларов. Эта атака затронула несколько блокчейнов, включая Ethereum, BNB Smart Chain и Polygon.
Атакующий использовал уязвимость арифметического переполнения в контракте Poolz. В частности, проблема возникла в функции getArraySum функции CreateMassPools. Эта функция не смогла правильно обработать большие числа при расчете количества токенов, что привело к переполнению, позволив атакующему получить большое количество токенов по крайне низкой цене.
Процесс атаки примерно следующий:
Атакующий сначала обменял небольшое количество токенов MNZ на одном из DEX.
Затем была вызвана уязвимая функция CreateMassPools. Эта функция должна была позволить пользователям массово создавать ликвидные пулы и предоставлять начальную ликвидность.
С помощью тщательно подобранных параметров злоумышленник вызвал переполнение целого числа в функции getArraySum. Это привело к тому, что система ошибочно посчитала, что злоумышленник предоставил большое количество токенов, в то время как на самом деле было переведено лишь очень мало.
В конце концов, злоумышленник с помощью функции withdraw извлек токены, которые ему не принадлежали, завершив атаку.
Данное событие связано с несколькими токенами, включая MEE, ESNC, DON, ASW, KMON, POOLZ и другие. Злоумышленники уже обменяли часть прибыли на BNB, но на момент отчета средства еще не были выведены.
Чтобы предотвратить подобные проблемы, эксперты по безопасности рекомендуют разработчикам использовать более новые версии языка программирования Solidity, которые автоматически выполняют проверку на переполнение во время компиляции. Для проектов, использующих старую версию Solidity, можно рассмотреть возможность использования библиотеки SafeMath от OpenZeppelin для предотвращения переполнения целых чисел.
Это событие еще раз подчеркивает важность строгого проведения аудита безопасности при разработке смарт-контрактов, особенно при обработке функций, связанных с большим объемом вычислений. Оно также напоминает инвесторам и пользователям о необходимости осторожно относиться к новым DeFi проектам и постоянно следить за состоянием их безопасности.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
13 Лайков
Награда
13
6
Репост
Поделиться
комментарий
0/400
ser_we_are_ngmi
· 10ч назад
Снова уязвимость переполнения, падение не прекращается.
Посмотреть ОригиналОтветить0
BlockchainThinkTank
· 10ч назад
На основе опыта, такие уязвимости переполнения относятся к базовым проблемам команды разработчиков, рекомендуется избегать таких проектов.
Посмотреть ОригиналОтветить0
NFTRegretDiary
· 10ч назад
Снова уязвимость переполнения, смарт-контракты новичков покидают мир
Poolz подвергся атаке хакеров, многосетевые потери составили 66,5 тысячи долларов США
Poolz подвергся атаке, убытки составили около 665 000 долларов США
Недавно платформа Poolz столкнулась с серьезным инцидентом безопасности, который привел к потерям примерно в 665 000 долларов. Эта атака затронула несколько блокчейнов, включая Ethereum, BNB Smart Chain и Polygon.
Атакующий использовал уязвимость арифметического переполнения в контракте Poolz. В частности, проблема возникла в функции getArraySum функции CreateMassPools. Эта функция не смогла правильно обработать большие числа при расчете количества токенов, что привело к переполнению, позволив атакующему получить большое количество токенов по крайне низкой цене.
Процесс атаки примерно следующий:
Атакующий сначала обменял небольшое количество токенов MNZ на одном из DEX.
Затем была вызвана уязвимая функция CreateMassPools. Эта функция должна была позволить пользователям массово создавать ликвидные пулы и предоставлять начальную ликвидность.
С помощью тщательно подобранных параметров злоумышленник вызвал переполнение целого числа в функции getArraySum. Это привело к тому, что система ошибочно посчитала, что злоумышленник предоставил большое количество токенов, в то время как на самом деле было переведено лишь очень мало.
В конце концов, злоумышленник с помощью функции withdraw извлек токены, которые ему не принадлежали, завершив атаку.
Данное событие связано с несколькими токенами, включая MEE, ESNC, DON, ASW, KMON, POOLZ и другие. Злоумышленники уже обменяли часть прибыли на BNB, но на момент отчета средства еще не были выведены.
Чтобы предотвратить подобные проблемы, эксперты по безопасности рекомендуют разработчикам использовать более новые версии языка программирования Solidity, которые автоматически выполняют проверку на переполнение во время компиляции. Для проектов, использующих старую версию Solidity, можно рассмотреть возможность использования библиотеки SafeMath от OpenZeppelin для предотвращения переполнения целых чисел.
Это событие еще раз подчеркивает важность строгого проведения аудита безопасности при разработке смарт-контрактов, особенно при обработке функций, связанных с большим объемом вычислений. Оно также напоминает инвесторам и пользователям о необходимости осторожно относиться к новым DeFi проектам и постоянно следить за состоянием их безопасности.