Проект Poolz подвергся атаке, убытки составили около 66,5 тысячи долларов США
Недавно инцидент с атакой на многосетевой проект Poolz привлек внимание отрасли. Согласно данным мониторинга блокчейна, атака произошла 15 марта 2023 года и затронула три цепочки: Ethereum, Binance и Polygon.
Атакующий успешно украл множество токенов, включая MEE, ESNC, DON, ASW, KMON, POOLZ и другие, общая стоимость которых составляет около 665000 долларов США. В настоящее время часть украденных активов была обменена на BNB, но еще не переведена из кошелька атакующего.
Эта атака в основном использовала уязвимость арифметического переполнения в смарт-контракте проекта Poolz. Злоумышленник, вызывая функцию CreateMassPools, искусно воспользовался проблемой переполнения целого числа в функции getArraySum. В частности, злоумышленник сконструировал специальный массив, такой что сумма превышает максимальное значение uint256, в результате чего функция возвращает значение 1.
Однако контракт использовал исходные входные значения при записи атрибутов пула, а не фактическое количество токенов, переведенных в систему. Это позволило злоумышленнику внести всего 1 токен и зафиксировать в системе огромное значение. Затем злоумышленник использовал функцию withdraw, чтобы вывести токены, значительно превышающие фактическое количество, что завершило атаку.
Это событие снова подчеркивает важность безопасности смарт-контрактов. Чтобы предотвратить подобные проблемы, разработчики должны рассмотреть возможность использования более новых версий компилятора Solidity, которые имеют встроенные функции проверки переполнения. Для проектов, использующих более старые версии Solidity, можно использовать библиотеку SafeMath от OpenZeppelin для избежания рисков переполнения целых чисел.
Эта атака напоминает нам о том, что даже простые математические операции могут представлять серьезные угрозы безопасности в среде блокчейна. Командам проектов необходимо более внимательно разрабатывать и проверять смарт-контракты, чтобы обеспечить безопасность активов пользователей.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
11 Лайков
Награда
11
4
Поделиться
комментарий
0/400
ForeverBuyingDips
· 9ч назад
Снова была украдена дыра в смарт-контрактах
Посмотреть ОригиналОтветить0
NFTHoarder
· 9ч назад
Один день не видел, и снова проект был обобран.
Посмотреть ОригиналОтветить0
OnchainSniper
· 9ч назад
Опять голые смарт-контракты, это всего лишь мелочь~
Poolz подвергся атаке Хакера, потеря многосетевых активов составила 66,5 тысячи долларов США.
Проект Poolz подвергся атаке, убытки составили около 66,5 тысячи долларов США
Недавно инцидент с атакой на многосетевой проект Poolz привлек внимание отрасли. Согласно данным мониторинга блокчейна, атака произошла 15 марта 2023 года и затронула три цепочки: Ethereum, Binance и Polygon.
Атакующий успешно украл множество токенов, включая MEE, ESNC, DON, ASW, KMON, POOLZ и другие, общая стоимость которых составляет около 665000 долларов США. В настоящее время часть украденных активов была обменена на BNB, но еще не переведена из кошелька атакующего.
Эта атака в основном использовала уязвимость арифметического переполнения в смарт-контракте проекта Poolz. Злоумышленник, вызывая функцию CreateMassPools, искусно воспользовался проблемой переполнения целого числа в функции getArraySum. В частности, злоумышленник сконструировал специальный массив, такой что сумма превышает максимальное значение uint256, в результате чего функция возвращает значение 1.
Однако контракт использовал исходные входные значения при записи атрибутов пула, а не фактическое количество токенов, переведенных в систему. Это позволило злоумышленнику внести всего 1 токен и зафиксировать в системе огромное значение. Затем злоумышленник использовал функцию withdraw, чтобы вывести токены, значительно превышающие фактическое количество, что завершило атаку.
Это событие снова подчеркивает важность безопасности смарт-контрактов. Чтобы предотвратить подобные проблемы, разработчики должны рассмотреть возможность использования более новых версий компилятора Solidity, которые имеют встроенные функции проверки переполнения. Для проектов, использующих более старые версии Solidity, можно использовать библиотеку SafeMath от OpenZeppelin для избежания рисков переполнения целых чисел.
Эта атака напоминает нам о том, что даже простые математические операции могут представлять серьезные угрозы безопасности в среде блокчейна. Командам проектов необходимо более внимательно разрабатывать и проверять смарт-контракты, чтобы обеспечить безопасность активов пользователей.