Poolz Mengalami Serangan Overflow Aritmatika, Kerugian Sekitar 66,5 Ribu Dolar AS
Belakangan ini, beberapa proyek Poolz di berbagai jaringan blockchain telah menjadi target serangan hacker, mengakibatkan pencurian sejumlah besar token dengan nilai total sekitar 66,5 ribu dolar AS. Serangan ini terutama terjadi di jaringan seperti Ethereum, BNB Chain, dan Polygon.
Penyerang memanfaatkan celah overflow aritmatika dalam kontrak pintar Poolz. Secara spesifik, masalah terletak pada fungsi getArraySum dalam fungsi CreateMassPools. Fungsi ini melakukan penjumlahan dengan menjelajahi array _StartAmount, tetapi tidak menangani overflow dengan tepat. Penyerang dengan cerdik menyusun array yang berisi nilai yang sangat besar, yang menyebabkan hasil penjumlahan melampaui rentang uint256, dan akhirnya nilai yang dikembalikan menjadi 1.
Proses serangan adalah sebagai berikut:
Penyerang pertama-tama menukarkan beberapa token MNZ di DEX tertentu.
Kemudian panggil fungsi CreateMassPools dengan parameter yang dirancang dengan cermat. Meskipun hanya satu token yang sebenarnya dipindahkan, _StartAmount mencatat nilai yang sangat besar.
Terakhir, tarik dana melalui fungsi withdraw untuk menyelesaikan serangan.
Insiden kali ini melibatkan berbagai token, termasuk MEE, ESNC, DON, ASW, KMON, POOLZ, dan lainnya. Di antara semua, token ASW mengalami kerugian terbesar, lebih dari 2 miliar token.
Untuk mencegah masalah serupa terjadi lagi, disarankan agar pengembang menggunakan versi terbaru dari kompiler Solidity yang sudah dilengkapi dengan fitur pemeriksaan overflow. Untuk proyek yang menggunakan versi Solidity yang lebih lama, dapat mempertimbangkan untuk menggunakan perpustakaan SafeMath dari OpenZeppelin untuk menangani masalah overflow integer.
Serangan kali ini kembali mengingatkan pentingnya keamanan kontrak pintar bagi proyek DeFi. Bahkan operasi aritmatika yang tampaknya sederhana, jika tidak ditangani dengan baik, dapat menyebabkan celah keamanan yang serius. Pihak proyek harus lebih memperhatikan audit kode dan mengambil langkah-langkah keamanan yang diperlukan untuk melindungi aset pengguna.
Lihat Asli
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Poolz mengalami serangan overflow aritmatika, kerugian multi-rantai mencapai 66,5 ribu dolar AS.
Poolz Mengalami Serangan Overflow Aritmatika, Kerugian Sekitar 66,5 Ribu Dolar AS
Belakangan ini, beberapa proyek Poolz di berbagai jaringan blockchain telah menjadi target serangan hacker, mengakibatkan pencurian sejumlah besar token dengan nilai total sekitar 66,5 ribu dolar AS. Serangan ini terutama terjadi di jaringan seperti Ethereum, BNB Chain, dan Polygon.
Penyerang memanfaatkan celah overflow aritmatika dalam kontrak pintar Poolz. Secara spesifik, masalah terletak pada fungsi getArraySum dalam fungsi CreateMassPools. Fungsi ini melakukan penjumlahan dengan menjelajahi array _StartAmount, tetapi tidak menangani overflow dengan tepat. Penyerang dengan cerdik menyusun array yang berisi nilai yang sangat besar, yang menyebabkan hasil penjumlahan melampaui rentang uint256, dan akhirnya nilai yang dikembalikan menjadi 1.
Proses serangan adalah sebagai berikut:
Penyerang pertama-tama menukarkan beberapa token MNZ di DEX tertentu.
Kemudian panggil fungsi CreateMassPools dengan parameter yang dirancang dengan cermat. Meskipun hanya satu token yang sebenarnya dipindahkan, _StartAmount mencatat nilai yang sangat besar.
Terakhir, tarik dana melalui fungsi withdraw untuk menyelesaikan serangan.
Insiden kali ini melibatkan berbagai token, termasuk MEE, ESNC, DON, ASW, KMON, POOLZ, dan lainnya. Di antara semua, token ASW mengalami kerugian terbesar, lebih dari 2 miliar token.
Untuk mencegah masalah serupa terjadi lagi, disarankan agar pengembang menggunakan versi terbaru dari kompiler Solidity yang sudah dilengkapi dengan fitur pemeriksaan overflow. Untuk proyek yang menggunakan versi Solidity yang lebih lama, dapat mempertimbangkan untuk menggunakan perpustakaan SafeMath dari OpenZeppelin untuk menangani masalah overflow integer.
Serangan kali ini kembali mengingatkan pentingnya keamanan kontrak pintar bagi proyek DeFi. Bahkan operasi aritmatika yang tampaknya sederhana, jika tidak ditangani dengan baik, dapat menyebabkan celah keamanan yang serius. Pihak proyek harus lebih memperhatikan audit kode dan mengambil langkah-langkah keamanan yang diperlukan untuk melindungi aset pengguna.