Poolz victime d'une attaque par débordement arithmétique, perte de près de 670 000 dollars.
Récemment, un incident d'attaque contre le projet Poolz sur plusieurs chaînes a suscité une large attention dans l'industrie. Selon les données de surveillance en chaîne, l'attaque s'est produite le 15 mars 2023, impliquant plusieurs chaînes publiques telles qu'Ethereum, BNB Chain et Polygon.
Cette attaque a entraîné le vol d'un grand nombre de jetons, y compris les jetons de plusieurs projets tels que MEE, ESNC, DON, ASW, KMON, POOLZ, etc. Une estimation préliminaire évalue la valeur totale des actifs volés à environ 665 000 dollars. Actuellement, une partie des jetons volés a été échangée par les attaquants contre des BNB, mais ils n'ont pas encore été transférés depuis l'adresse contrôlée par les attaquants.
L'analyse montre que cette attaque a principalement utilisé une vulnérabilité de débordement arithmétique dans le contrat intelligent du projet Poolz. L'attaquant a déclenché un débordement entier en utilisant des paramètres d'entrée habilement construits lors de la création en masse de pools de liquidité, permettant ainsi d'obtenir une grande quantité de liquidité avec une très petite quantité de jetons.
Plus précisément, l'attaquant a d'abord échangé une petite quantité de jetons MNZ sur un certain échange décentralisé. Ensuite, l'attaquant a appelé la fonction CreateMassPools dans le contrat Poolz, qui permet aux utilisateurs de créer des pools de liquidité en masse et de fournir une liquidité initiale. Le problème se trouve dans la fonction getArraySum, qui est utilisée pour calculer le montant total de liquidité initiale fourni par l'utilisateur.
L'attaquant a soigneusement construit un tableau contenant des valeurs numériques énormes comme paramètres d'entrée. Lorsque ces valeurs sont additionnées, un dépassement d'entier se produit, entraînant un énorme écart entre le nombre de jetons réellement transférés et le nombre enregistré. Finalement, l'attaquant a transféré seulement 1 jeton, mais a enregistré une énorme valeur de liquidité dans le contrat.
Après avoir effectué les opérations ci-dessus, l'attaquant appelle immédiatement la fonction withdraw pour retirer des fonds, complétant ainsi facilement l'ensemble du processus d'attaque.
Cet événement met à nouveau en évidence le danger des problèmes de débordement arithmétique dans les contrats intelligents. Pour prévenir des risques similaires, des experts de l'industrie recommandent aux développeurs d'utiliser des versions plus récentes du langage de programmation Solidity, qui effectuent automatiquement des vérifications de débordement lors de la compilation. Pour les projets utilisant des versions plus anciennes de Solidity, il peut être envisagé d'introduire des bibliothèques de sécurité établies comme OpenZeppelin pour résoudre les problèmes de débordement entier.
Cet événement nous rappelle que la sécurité des contrats est toujours une question clé à ne pas négliger dans l'écosystème blockchain. Les porteurs de projet doivent constamment renforcer l'audit de code et les tests de sécurité, tandis que les utilisateurs, en participant à de nouveaux projets, doivent également rester vigilants et évaluer prudemment les risques associés.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
18 J'aime
Récompense
18
5
Partager
Commentaire
0/400
PositionPhobia
· Il y a 20h
Perte énorme, le stop loss ne peut même pas être déclenché.
Voir l'originalRépondre0
StrawberryIce
· Il y a 20h
Il y a des failles et des failles, quel contrat est fiable ?
Voir l'originalRépondre0
InscriptionGriller
· Il y a 20h
Encore un bel exemple de zéro Covid, tous les jours pris pour des idiots.
Voir l'originalRépondre0
SeasonedInvestor
· Il y a 20h
Encore tondue ! Quel contrat est testé ?
Voir l'originalRépondre0
SchrodingersPaper
· Il y a 20h
Encore été tondu ? Tu joues aux contrats mais tu n'as pas testé le dépassement ! Trop nul !
Poolz subit une attaque par débordement arithmétique, perte de près de 670 000 dollars sur plusieurs chaînes.
Poolz victime d'une attaque par débordement arithmétique, perte de près de 670 000 dollars.
Récemment, un incident d'attaque contre le projet Poolz sur plusieurs chaînes a suscité une large attention dans l'industrie. Selon les données de surveillance en chaîne, l'attaque s'est produite le 15 mars 2023, impliquant plusieurs chaînes publiques telles qu'Ethereum, BNB Chain et Polygon.
Cette attaque a entraîné le vol d'un grand nombre de jetons, y compris les jetons de plusieurs projets tels que MEE, ESNC, DON, ASW, KMON, POOLZ, etc. Une estimation préliminaire évalue la valeur totale des actifs volés à environ 665 000 dollars. Actuellement, une partie des jetons volés a été échangée par les attaquants contre des BNB, mais ils n'ont pas encore été transférés depuis l'adresse contrôlée par les attaquants.
L'analyse montre que cette attaque a principalement utilisé une vulnérabilité de débordement arithmétique dans le contrat intelligent du projet Poolz. L'attaquant a déclenché un débordement entier en utilisant des paramètres d'entrée habilement construits lors de la création en masse de pools de liquidité, permettant ainsi d'obtenir une grande quantité de liquidité avec une très petite quantité de jetons.
Plus précisément, l'attaquant a d'abord échangé une petite quantité de jetons MNZ sur un certain échange décentralisé. Ensuite, l'attaquant a appelé la fonction CreateMassPools dans le contrat Poolz, qui permet aux utilisateurs de créer des pools de liquidité en masse et de fournir une liquidité initiale. Le problème se trouve dans la fonction getArraySum, qui est utilisée pour calculer le montant total de liquidité initiale fourni par l'utilisateur.
L'attaquant a soigneusement construit un tableau contenant des valeurs numériques énormes comme paramètres d'entrée. Lorsque ces valeurs sont additionnées, un dépassement d'entier se produit, entraînant un énorme écart entre le nombre de jetons réellement transférés et le nombre enregistré. Finalement, l'attaquant a transféré seulement 1 jeton, mais a enregistré une énorme valeur de liquidité dans le contrat.
Après avoir effectué les opérations ci-dessus, l'attaquant appelle immédiatement la fonction withdraw pour retirer des fonds, complétant ainsi facilement l'ensemble du processus d'attaque.
Cet événement met à nouveau en évidence le danger des problèmes de débordement arithmétique dans les contrats intelligents. Pour prévenir des risques similaires, des experts de l'industrie recommandent aux développeurs d'utiliser des versions plus récentes du langage de programmation Solidity, qui effectuent automatiquement des vérifications de débordement lors de la compilation. Pour les projets utilisant des versions plus anciennes de Solidity, il peut être envisagé d'introduire des bibliothèques de sécurité établies comme OpenZeppelin pour résoudre les problèmes de débordement entier.
Cet événement nous rappelle que la sécurité des contrats est toujours une question clé à ne pas négliger dans l'écosystème blockchain. Les porteurs de projet doivent constamment renforcer l'audit de code et les tests de sécurité, tandis que les utilisateurs, en participant à de nouveaux projets, doivent également rester vigilants et évaluer prudemment les risques associés.