Poolz столкнулся с атакой из-за уязвимости арифметического переполнения, убытки составили около 66,5 тыс. долларов США
Недавно инцидент с атакой на платформу Poolz привлек внимание отрасли. Согласно данным мониторинга в цепочке, атака произошла 15 марта 2023 года и затронула несколько сетей, включая Ethereum, BNB Chain и Polygon. Нападающие использовали уязвимость переполнения арифметических операций в смарт-контракте, успешно похитив большое количество токенов на общую сумму около 665000 долларов США.
Злоумышленник, воспользовавшись проблемой переполнения целого числа в функции getArraySum, хитроумно манипулировал функцией CreateMassPools. В частности, злоумышленник конструировал специальный входной массив, который приводил к тому, что сумма превышала диапазон uint256, в результате чего функция возвращала значение 1. Однако контракт при записи свойств пула по-прежнему использовал исходное значение _StartAmount, что привело к серьезным финансовым потерям.
Украденные активы включают в себя различные токены ERC-20, такие как MEE, ESNC, DON, ASW, KMON, POOLZ и другие. Злоумышленники обменяли часть полученных токенов на BNB, но на данный момент эти средства еще не были переведены с адреса злоумышленника.
Этот инцидент снова подчеркивает важность аудита безопасности смарт-контрактов. Чтобы предотвратить подобные проблемы с арифметическим переполнением, специалисты рекомендуют разработчикам использовать более новые версии языка программирования Solidity, поскольку эти версии автоматически выполняют проверку переполнения в процессе компиляции. Для проектов, использующих более старые версии Solidity, стоит рассмотреть возможность внедрения библиотеки SafeMath от OpenZeppelin для повышения безопасности контрактов.
Данный инцидент с атакой напоминает нам о том, что, несмотря на быстрое развитие технологии блокчейн, вопросы безопасности всегда остаются важными. Команды разработчиков должны уделять больше внимания аудиту смарт-контрактов и принимать комплексные меры безопасности, чтобы защитить активы пользователей от угроз подобных атак.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
22 Лайков
Награда
22
4
Репост
Поделиться
комментарий
0/400
DuckFluff
· 08-17 19:51
Это же не первый раз, когда ты страдаешь?
Посмотреть ОригиналОтветить0
WinterWarmthCat
· 08-14 22:23
Опять переполнение... Этот аудит кода был проведён зря?
Посмотреть ОригиналОтветить0
NFTragedy
· 08-14 22:20
Давай поторопимся! За день пропало 665 тысяч.
Посмотреть ОригиналОтветить0
AirdropSkeptic
· 08-14 22:15
С такими деньгами вы смеете обманывать? Неудивительно, что все говорят, что безопасность layer2 плохая.
Poolz подвергся атаке из-за уязвимости арифметического переполнения, убытки составили 665 000 долларов США.
Poolz столкнулся с атакой из-за уязвимости арифметического переполнения, убытки составили около 66,5 тыс. долларов США
Недавно инцидент с атакой на платформу Poolz привлек внимание отрасли. Согласно данным мониторинга в цепочке, атака произошла 15 марта 2023 года и затронула несколько сетей, включая Ethereum, BNB Chain и Polygon. Нападающие использовали уязвимость переполнения арифметических операций в смарт-контракте, успешно похитив большое количество токенов на общую сумму около 665000 долларов США.
Злоумышленник, воспользовавшись проблемой переполнения целого числа в функции getArraySum, хитроумно манипулировал функцией CreateMassPools. В частности, злоумышленник конструировал специальный входной массив, который приводил к тому, что сумма превышала диапазон uint256, в результате чего функция возвращала значение 1. Однако контракт при записи свойств пула по-прежнему использовал исходное значение _StartAmount, что привело к серьезным финансовым потерям.
Украденные активы включают в себя различные токены ERC-20, такие как MEE, ESNC, DON, ASW, KMON, POOLZ и другие. Злоумышленники обменяли часть полученных токенов на BNB, но на данный момент эти средства еще не были переведены с адреса злоумышленника.
Этот инцидент снова подчеркивает важность аудита безопасности смарт-контрактов. Чтобы предотвратить подобные проблемы с арифметическим переполнением, специалисты рекомендуют разработчикам использовать более новые версии языка программирования Solidity, поскольку эти версии автоматически выполняют проверку переполнения в процессе компиляции. Для проектов, использующих более старые версии Solidity, стоит рассмотреть возможность внедрения библиотеки SafeMath от OpenZeppelin для повышения безопасности контрактов.
Данный инцидент с атакой напоминает нам о том, что, несмотря на быстрое развитие технологии блокчейн, вопросы безопасности всегда остаются важными. Команды разработчиков должны уделять больше внимания аудиту смарт-контрактов и принимать комплексные меры безопасности, чтобы защитить активы пользователей от угроз подобных атак.