Le projet Poolz a été attaqué, avec une perte d'environ 665 000 dollars.
Récemment, un incident de sécurité impliquant plusieurs blockchains a attiré l'attention de l'industrie. Selon les données de surveillance en chaîne, dans la nuit du 15 mars, le projet Poolz sur les réseaux Ethereum, Binance et Polygon a été attaqué, entraînant une perte importante de jetons, d'une valeur totale d'environ 66,5 milliers de dollars.
Des attaquants ont exploité une vulnérabilité de dépassement arithmétique dans le contrat intelligent pour extraire avec succès plusieurs types de jetons du projet, y compris MEE, ESNC, DON, ASW, KMON, POOLZ, etc. À l'heure actuelle, une partie des jetons volés a été échangée contre des BNB, mais les fonds n'ont pas encore été transférés.
Cette attaque cible principalement la fonction CreateMassPools du projet Poolz. Cette fonction était à l'origine conçue pour créer en masse des pools de liquidité et fournir une liquidité initiale. Cependant, en raison d'un problème de dépassement d'entier dans la fonction getArraySum, les attaquants ont pu exploiter cette vulnérabilité. En passant des paramètres spécifiques, les attaquants ont réussi à faire en sorte que le résultat de l'addition dépasse la plage de uint256, ce qui a conduit à un retour de valeur de 1 par la fonction. Cela signifie que les attaquants n'ont besoin de transférer qu'un seul jeton pour enregistrer dans le système une liquidité bien supérieure à la quantité réelle.
Ensuite, l'attaquant a extrait des jetons en appelant la fonction withdraw, complétant ainsi l'ensemble du processus d'attaque.
Pour éviter que de tels incidents ne se reproduisent, les experts de l'industrie conseillent aux développeurs d'utiliser des versions plus récentes de Solidity pour la compilation, ces versions effectuant automatiquement des vérifications de débordement. Pour les projets utilisant des versions inférieures de Solidity, il peut être envisagé d'introduire la bibliothèque SafeMath d'OpenZeppelin pour résoudre les problèmes de débordement entier.
Cet incident nous rappelle une fois de plus que la sécurité est essentielle dans le développement de contrats intelligents. Les développeurs doivent être particulièrement attentifs aux risques potentiels de débordement arithmétique et prendre les mesures préventives nécessaires. En outre, des audits de sécurité réguliers sont également un moyen important de garantir la sécurité du projet.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Le projet Poolz a été attaqué, avec une perte de 66,5 milliers de dollars sur plusieurs chaînes.
Le projet Poolz a été attaqué, avec une perte d'environ 665 000 dollars.
Récemment, un incident de sécurité impliquant plusieurs blockchains a attiré l'attention de l'industrie. Selon les données de surveillance en chaîne, dans la nuit du 15 mars, le projet Poolz sur les réseaux Ethereum, Binance et Polygon a été attaqué, entraînant une perte importante de jetons, d'une valeur totale d'environ 66,5 milliers de dollars.
Des attaquants ont exploité une vulnérabilité de dépassement arithmétique dans le contrat intelligent pour extraire avec succès plusieurs types de jetons du projet, y compris MEE, ESNC, DON, ASW, KMON, POOLZ, etc. À l'heure actuelle, une partie des jetons volés a été échangée contre des BNB, mais les fonds n'ont pas encore été transférés.
Cette attaque cible principalement la fonction CreateMassPools du projet Poolz. Cette fonction était à l'origine conçue pour créer en masse des pools de liquidité et fournir une liquidité initiale. Cependant, en raison d'un problème de dépassement d'entier dans la fonction getArraySum, les attaquants ont pu exploiter cette vulnérabilité. En passant des paramètres spécifiques, les attaquants ont réussi à faire en sorte que le résultat de l'addition dépasse la plage de uint256, ce qui a conduit à un retour de valeur de 1 par la fonction. Cela signifie que les attaquants n'ont besoin de transférer qu'un seul jeton pour enregistrer dans le système une liquidité bien supérieure à la quantité réelle.
Ensuite, l'attaquant a extrait des jetons en appelant la fonction withdraw, complétant ainsi l'ensemble du processus d'attaque.
Pour éviter que de tels incidents ne se reproduisent, les experts de l'industrie conseillent aux développeurs d'utiliser des versions plus récentes de Solidity pour la compilation, ces versions effectuant automatiquement des vérifications de débordement. Pour les projets utilisant des versions inférieures de Solidity, il peut être envisagé d'introduire la bibliothèque SafeMath d'OpenZeppelin pour résoudre les problèmes de débordement entier.
Cet incident nous rappelle une fois de plus que la sécurité est essentielle dans le développement de contrats intelligents. Les développeurs doivent être particulièrement attentifs aux risques potentiels de débordement arithmétique et prendre les mesures préventives nécessaires. En outre, des audits de sécurité réguliers sont également un moyen important de garantir la sécurité du projet.