Poolz subit une attaque par débordement arithmétique, avec une perte d'environ 66,5 000 dollars.
Récemment, plusieurs projets Poolz sur des réseaux blockchain ont été attaqués par des hackers, entraînant le vol d'une grande quantité de tokens d'une valeur totale d'environ 66,5 millions de dollars. Cette attaque a principalement eu lieu sur des chaînes telles qu'Ethereum, BNB Chain et Polygon.
Les attaquants ont exploité une vulnérabilité de débordement arithmétique dans le contrat intelligent Poolz. Plus précisément, le problème réside dans la fonction getArraySum de la fonction CreateMassPools. Cette fonction effectue une somme en parcourant le tableau _StartAmount, mais ne gère pas correctement les débordements. Les attaquants ont habilement construit un tableau contenant des valeurs extrêmement élevées, entraînant un résultat de somme dépassant la plage uint256, et finalement, la valeur retournée devient 1.
Le processus d'attaque est le suivant :
L'attaquant a d'abord échangé des jetons MNZ sur un DEX.
Ensuite, appelez la fonction CreateMassPools en passant des paramètres soigneusement conçus. Bien qu'un seul jeton soit réellement transféré, _StartAmount enregistre une valeur énorme.
Enfin, retirez des fonds via la fonction withdraw pour terminer l'attaque.
Cet événement implique diverses tokens, y compris MEE, ESNC, DON, ASW, KMON, POOLZ, etc. Parmi eux, la perte la plus importante concerne le token ASW, avec plus de 2 milliards d'unités.
Pour éviter que ce type de problème ne se reproduise, il est conseillé aux développeurs d'utiliser une version plus récente du compilateur Solidity, qui intègre une fonction de vérification des débordements. Pour les projets utilisant une version antérieure de Solidity, il est possible d'envisager l'intégration de la bibliothèque SafeMath d'OpenZeppelin pour gérer les problèmes de débordement d'entiers.
Cette attaque rappelle une fois de plus l'importance de la sécurité des contrats intelligents pour les projets DeFi. Même des opérations arithmétiques apparemment simples, si elles sont mal gérées, peuvent entraîner de graves vulnérabilités de sécurité. Les équipes de projet devraient accorder plus d'importance à l'audit du code et prendre les mesures de sécurité nécessaires pour protéger les actifs des utilisateurs.
Voir l'original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
16 J'aime
Récompense
16
4
Partager
Commentaire
0/400
FarmHopper
· 07-06 08:17
Un autre projet est tombé.
Voir l'originalRépondre0
GasFeeWhisperer
· 07-06 08:12
Une vulnérabilité de dépassement peut aussi causer tant de dégâts.
Voir l'originalRépondre0
BearMarketSurvivor
· 07-06 08:04
Encore un smart contract a été joué en panne.
Voir l'originalRépondre0
DarkPoolWatcher
· 07-06 07:52
Le contrat a encore des failles, n'est-ce pas SB ?
Poolz subit une attaque par débordement arithmétique, pertes de 665 000 dollars sur plusieurs chaînes.
Poolz subit une attaque par débordement arithmétique, avec une perte d'environ 66,5 000 dollars.
Récemment, plusieurs projets Poolz sur des réseaux blockchain ont été attaqués par des hackers, entraînant le vol d'une grande quantité de tokens d'une valeur totale d'environ 66,5 millions de dollars. Cette attaque a principalement eu lieu sur des chaînes telles qu'Ethereum, BNB Chain et Polygon.
Les attaquants ont exploité une vulnérabilité de débordement arithmétique dans le contrat intelligent Poolz. Plus précisément, le problème réside dans la fonction getArraySum de la fonction CreateMassPools. Cette fonction effectue une somme en parcourant le tableau _StartAmount, mais ne gère pas correctement les débordements. Les attaquants ont habilement construit un tableau contenant des valeurs extrêmement élevées, entraînant un résultat de somme dépassant la plage uint256, et finalement, la valeur retournée devient 1.
Le processus d'attaque est le suivant :
L'attaquant a d'abord échangé des jetons MNZ sur un DEX.
Ensuite, appelez la fonction CreateMassPools en passant des paramètres soigneusement conçus. Bien qu'un seul jeton soit réellement transféré, _StartAmount enregistre une valeur énorme.
Enfin, retirez des fonds via la fonction withdraw pour terminer l'attaque.
Cet événement implique diverses tokens, y compris MEE, ESNC, DON, ASW, KMON, POOLZ, etc. Parmi eux, la perte la plus importante concerne le token ASW, avec plus de 2 milliards d'unités.
Pour éviter que ce type de problème ne se reproduise, il est conseillé aux développeurs d'utiliser une version plus récente du compilateur Solidity, qui intègre une fonction de vérification des débordements. Pour les projets utilisant une version antérieure de Solidity, il est possible d'envisager l'intégration de la bibliothèque SafeMath d'OpenZeppelin pour gérer les problèmes de débordement d'entiers.
Cette attaque rappelle une fois de plus l'importance de la sécurité des contrats intelligents pour les projets DeFi. Même des opérations arithmétiques apparemment simples, si elles sont mal gérées, peuvent entraîner de graves vulnérabilités de sécurité. Les équipes de projet devraient accorder plus d'importance à l'audit du code et prendre les mesures de sécurité nécessaires pour protéger les actifs des utilisateurs.