Proyek Poolz diserang, kerugian sekitar 66,5 ribu dolar AS
Baru-baru ini, sebuah serangan terhadap proyek multichain Poolz menarik perhatian industri. Menurut data pemantauan blockchain, serangan terjadi pada 15 Maret 2023, melibatkan tiga jaringan yaitu Ethereum, Binance, dan Polygon.
Penyerang berhasil mencuri berbagai token, termasuk MEE, ESNC, DON, ASW, KMON, POOLZ, dengan total nilai sekitar 665.000 USD. Saat ini, sebagian aset yang dicuri telah ditukarkan menjadi BNB, tetapi belum dipindahkan dari dompet penyerang.
Serangan kali ini terutama memanfaatkan celah overflow aritmatika dalam kontrak pintar proyek Poolz. Penyerang dengan cerdik memanfaatkan masalah overflow integer dalam fungsi getArraySum dengan memanggil fungsi CreateMassPools. Secara spesifik, penyerang membangun sebuah array khusus sehingga hasil penjumlahan melebihi nilai maksimum uint256, menyebabkan nilai kembali fungsi menjadi 1.
Namun, kontrak menggunakan nilai input mentah saat mencatat atribut kolam, bukan jumlah token yang sebenarnya ditransfer. Hal ini memungkinkan penyerang hanya perlu mentransfer 1 token untuk mencatat nilai yang sangat besar dalam sistem. Selanjutnya, penyerang mengekstrak token yang jauh melebihi jumlah yang sebenarnya disimpan melalui fungsi withdraw, sehingga menyelesaikan serangan.
Peristiwa ini sekali lagi menyoroti pentingnya keamanan kontrak pintar. Untuk mencegah masalah serupa, pengembang harus mempertimbangkan untuk menggunakan versi terbaru dari kompiler Solidity, yang dilengkapi dengan fungsi pemeriksaan overflow. Untuk proyek yang menggunakan versi Solidity yang lebih lama, dapat menggunakan pustaka SafeMath yang disediakan oleh OpenZeppelin untuk menghindari risiko overflow integer.
Serangan kali ini mengingatkan kita bahwa bahkan operasi matematika yang tampak sederhana dapat membawa risiko keamanan serius dalam lingkungan blockchain. Pihak proyek perlu lebih berhati-hati dalam merancang dan mengaudit kontrak pintar untuk memastikan keamanan aset pengguna.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
11 Suka
Hadiah
11
4
Bagikan
Komentar
0/400
ForeverBuyingDips
· 9jam yang lalu
Sekali lagi, celah kontrak pintar telah dicuri.
Lihat AsliBalas0
NFTHoarder
· 9jam yang lalu
Satu hari tidak bertemu, ada proyek yang diambil lagi.
Lihat AsliBalas0
OnchainSniper
· 9jam yang lalu
Sekali lagi kontrak pintar yang telanjang, hanya hal kecil~
Poolz diserang Hacker, kerugian aset multi-rantai mencapai 66,5 ribu dolar.
Proyek Poolz diserang, kerugian sekitar 66,5 ribu dolar AS
Baru-baru ini, sebuah serangan terhadap proyek multichain Poolz menarik perhatian industri. Menurut data pemantauan blockchain, serangan terjadi pada 15 Maret 2023, melibatkan tiga jaringan yaitu Ethereum, Binance, dan Polygon.
Penyerang berhasil mencuri berbagai token, termasuk MEE, ESNC, DON, ASW, KMON, POOLZ, dengan total nilai sekitar 665.000 USD. Saat ini, sebagian aset yang dicuri telah ditukarkan menjadi BNB, tetapi belum dipindahkan dari dompet penyerang.
Serangan kali ini terutama memanfaatkan celah overflow aritmatika dalam kontrak pintar proyek Poolz. Penyerang dengan cerdik memanfaatkan masalah overflow integer dalam fungsi getArraySum dengan memanggil fungsi CreateMassPools. Secara spesifik, penyerang membangun sebuah array khusus sehingga hasil penjumlahan melebihi nilai maksimum uint256, menyebabkan nilai kembali fungsi menjadi 1.
Namun, kontrak menggunakan nilai input mentah saat mencatat atribut kolam, bukan jumlah token yang sebenarnya ditransfer. Hal ini memungkinkan penyerang hanya perlu mentransfer 1 token untuk mencatat nilai yang sangat besar dalam sistem. Selanjutnya, penyerang mengekstrak token yang jauh melebihi jumlah yang sebenarnya disimpan melalui fungsi withdraw, sehingga menyelesaikan serangan.
Peristiwa ini sekali lagi menyoroti pentingnya keamanan kontrak pintar. Untuk mencegah masalah serupa, pengembang harus mempertimbangkan untuk menggunakan versi terbaru dari kompiler Solidity, yang dilengkapi dengan fungsi pemeriksaan overflow. Untuk proyek yang menggunakan versi Solidity yang lebih lama, dapat menggunakan pustaka SafeMath yang disediakan oleh OpenZeppelin untuk menghindari risiko overflow integer.
Serangan kali ini mengingatkan kita bahwa bahkan operasi matematika yang tampak sederhana dapat membawa risiko keamanan serius dalam lingkungan blockchain. Pihak proyek perlu lebih berhati-hati dalam merancang dan mengaudit kontrak pintar untuk memastikan keamanan aset pengguna.