Projeto Poolz sofre ataque, com perdas de cerca de 66,5 mil dólares.
Recentemente, um incidente de segurança envolvendo várias blockchains chamou a atenção do setor. De acordo com dados de monitoramento on-chain, na madrugada de 15 de março, o projeto Poolz nas redes Ethereum, Binance e Polygon foi atacado, resultando em uma grande perda de tokens, com um valor total aproximado de 66,5 mil dólares.
Os atacantes exploraram a vulnerabilidade de estouro aritmético em contratos inteligentes, conseguindo extrair vários tokens do projeto, incluindo MEE, ESNC, DON, ASW, KMON, POOLZ, entre outros. Atualmente, parte dos tokens roubados já foi trocada por BNB, mas os fundos ainda não foram transferidos.
O ataque foi principalmente direcionado à função CreateMassPools do projeto Poolz. Esta função foi originalmente projetada para criar em massa pools de liquidez e fornecer liquidez inicial. No entanto, devido a um problema de estouro de inteiro na função getArraySum, o atacante conseguiu explorar essa vulnerabilidade. O atacante, ao passar parâmetros específicos, fez com que o resultado da soma ultrapassasse o limite do uint256, resultando em um valor de retorno da função igual a 1. Isso permitiu que o atacante transferisse apenas 1 token, registrando no sistema uma liquidez muito maior do que a quantidade real.
Em seguida, o atacante chamou a função withdraw para retirar os tokens, completando assim todo o processo de ataque.
Para evitar que eventos semelhantes ocorram novamente, especialistas da indústria sugerem que os desenvolvedores utilizem versões mais recentes do Solidity para compilação, pois essas versões realizam automaticamente a verificação de estouro. Para projetos que utilizam versões mais antigas do Solidity, pode-se considerar a introdução da biblioteca SafeMath da OpenZeppelin para resolver problemas de estouro de inteiros.
Este incidente lembrou-nos novamente que a segurança é crucial no desenvolvimento de contratos inteligentes. Os desenvolvedores precisam estar especialmente atentos aos riscos potenciais de estouro aritmético e tomar as medidas de precaução necessárias. Ao mesmo tempo, realizar auditorias de segurança regularmente é também uma importante forma de garantir a segurança do projeto.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Projeto Poolz atacado, perda de 665 mil dólares em várias cadeias.
Projeto Poolz sofre ataque, com perdas de cerca de 66,5 mil dólares.
Recentemente, um incidente de segurança envolvendo várias blockchains chamou a atenção do setor. De acordo com dados de monitoramento on-chain, na madrugada de 15 de março, o projeto Poolz nas redes Ethereum, Binance e Polygon foi atacado, resultando em uma grande perda de tokens, com um valor total aproximado de 66,5 mil dólares.
Os atacantes exploraram a vulnerabilidade de estouro aritmético em contratos inteligentes, conseguindo extrair vários tokens do projeto, incluindo MEE, ESNC, DON, ASW, KMON, POOLZ, entre outros. Atualmente, parte dos tokens roubados já foi trocada por BNB, mas os fundos ainda não foram transferidos.
O ataque foi principalmente direcionado à função CreateMassPools do projeto Poolz. Esta função foi originalmente projetada para criar em massa pools de liquidez e fornecer liquidez inicial. No entanto, devido a um problema de estouro de inteiro na função getArraySum, o atacante conseguiu explorar essa vulnerabilidade. O atacante, ao passar parâmetros específicos, fez com que o resultado da soma ultrapassasse o limite do uint256, resultando em um valor de retorno da função igual a 1. Isso permitiu que o atacante transferisse apenas 1 token, registrando no sistema uma liquidez muito maior do que a quantidade real.
Em seguida, o atacante chamou a função withdraw para retirar os tokens, completando assim todo o processo de ataque.
Para evitar que eventos semelhantes ocorram novamente, especialistas da indústria sugerem que os desenvolvedores utilizem versões mais recentes do Solidity para compilação, pois essas versões realizam automaticamente a verificação de estouro. Para projetos que utilizam versões mais antigas do Solidity, pode-se considerar a introdução da biblioteca SafeMath da OpenZeppelin para resolver problemas de estouro de inteiros.
Este incidente lembrou-nos novamente que a segurança é crucial no desenvolvimento de contratos inteligentes. Os desenvolvedores precisam estar especialmente atentos aos riscos potenciais de estouro aritmético e tomar as medidas de precaução necessárias. Ao mesmo tempo, realizar auditorias de segurança regularmente é também uma importante forma de garantir a segurança do projeto.