Poolz sufre un ataque de desbordamiento aritmético, con pérdidas de aproximadamente 66.5 mil dólares.
Recientemente, varios proyectos de Poolz en diferentes redes de blockchain sufrieron ataques de hackers, lo que resultó en el robo de una gran cantidad de tokens, con un valor total de aproximadamente 66.5 mil dólares. Este ataque se produjo principalmente en cadenas como Ethereum, BNB Chain y Polygon.
Los atacantes explotaron una vulnerabilidad de desbordamiento aritmético en el contrato inteligente de Poolz. En concreto, el problema radica en la función getArraySum dentro de la función CreateMassPools. Esta función suma elementos del array _StartAmount, pero no maneja adecuadamente el desbordamiento. Los atacantes construyeron astutamente un array que contenía valores extremadamente grandes, lo que llevó a que el resultado de la suma excediera el rango de uint256, y finalmente el valor de retorno se convirtió en 1.
El proceso de ataque es el siguiente:
El atacante primero intercambió algunos tokens MNZ en un DEX.
Luego llama a la función CreateMassPools, pasando los parámetros cuidadosamente diseñados. Aunque en realidad solo se transfiere 1 token, _StartAmount registra un valor enorme.
Finalmente, extrae fondos a través de la función withdraw, completando el ataque.
Este evento involucra varios tokens, incluidos MEE, ESNC, DON, ASW, KMON, POOLZ, entre otros. El mayor perjuicio lo sufrió el token ASW, con más de 2 mil millones de unidades.
Para evitar que este tipo de problemas vuelva a ocurrir, se recomienda a los desarrolladores que utilicen una versión más reciente del compilador de Solidity, que incluye funciones de verificación de desbordamiento. Para los proyectos que utilizan versiones anteriores de Solidity, se puede considerar la incorporación de la biblioteca SafeMath de OpenZeppelin para manejar los problemas de desbordamiento de enteros.
Este ataque recuerda una vez más la importancia de la seguridad de los contratos inteligentes en los proyectos DeFi. Incluso las operaciones aritméticas que parecen simples, si no se manejan adecuadamente, pueden dar lugar a graves vulnerabilidades de seguridad. Los equipos de proyecto deben prestar más atención a la auditoría de código y tomar las medidas de seguridad necesarias para proteger los activos de los usuarios.
Ver originales
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
14 me gusta
Recompensa
14
4
Compartir
Comentar
0/400
FarmHopper
· 07-06 08:17
Otro proyecto ha caído.
Ver originalesResponder0
GasFeeWhisperer
· 07-06 08:12
Una vulnerabilidad de desbordamiento puede ser tan grande.
Poolz sufre un ataque de desbordamiento aritmético, pérdidas de 665,000 dólares en múltiples cadenas
Poolz sufre un ataque de desbordamiento aritmético, con pérdidas de aproximadamente 66.5 mil dólares.
Recientemente, varios proyectos de Poolz en diferentes redes de blockchain sufrieron ataques de hackers, lo que resultó en el robo de una gran cantidad de tokens, con un valor total de aproximadamente 66.5 mil dólares. Este ataque se produjo principalmente en cadenas como Ethereum, BNB Chain y Polygon.
Los atacantes explotaron una vulnerabilidad de desbordamiento aritmético en el contrato inteligente de Poolz. En concreto, el problema radica en la función getArraySum dentro de la función CreateMassPools. Esta función suma elementos del array _StartAmount, pero no maneja adecuadamente el desbordamiento. Los atacantes construyeron astutamente un array que contenía valores extremadamente grandes, lo que llevó a que el resultado de la suma excediera el rango de uint256, y finalmente el valor de retorno se convirtió en 1.
El proceso de ataque es el siguiente:
El atacante primero intercambió algunos tokens MNZ en un DEX.
Luego llama a la función CreateMassPools, pasando los parámetros cuidadosamente diseñados. Aunque en realidad solo se transfiere 1 token, _StartAmount registra un valor enorme.
Finalmente, extrae fondos a través de la función withdraw, completando el ataque.
Este evento involucra varios tokens, incluidos MEE, ESNC, DON, ASW, KMON, POOLZ, entre otros. El mayor perjuicio lo sufrió el token ASW, con más de 2 mil millones de unidades.
Para evitar que este tipo de problemas vuelva a ocurrir, se recomienda a los desarrolladores que utilicen una versión más reciente del compilador de Solidity, que incluye funciones de verificación de desbordamiento. Para los proyectos que utilizan versiones anteriores de Solidity, se puede considerar la incorporación de la biblioteca SafeMath de OpenZeppelin para manejar los problemas de desbordamiento de enteros.
Este ataque recuerda una vez más la importancia de la seguridad de los contratos inteligentes en los proyectos DeFi. Incluso las operaciones aritméticas que parecen simples, si no se manejan adecuadamente, pueden dar lugar a graves vulnerabilidades de seguridad. Los equipos de proyecto deben prestar más atención a la auditoría de código y tomar las medidas de seguridad necesarias para proteger los activos de los usuarios.