Poolz subit une attaque par débordement arithmétique, avec une perte d'environ 665 000 dollars.
Récemment, un incident d'attaque contre la plateforme Poolz a suscité l'attention du secteur. Selon les données de surveillance en chaîne, l'attaque a eu lieu le 15 mars 2023, impliquant plusieurs réseaux tels qu'Ethereum, BNB Chain et Polygon. Les attaquants ont exploité une vulnérabilité de débordement arithmétique dans le contrat intelligent, réussissant à voler une grande quantité de jetons, d'une valeur totale d'environ 665 000 dollars.
L'attaquant a exploité un problème de dépassement d'entier dans la fonction getArraySum en manipulant habilement la fonction CreateMassPools. Plus précisément, l'attaquant a construit un tableau d'entrée spécial qui a fait que le résultat de l'addition dépasse la plage de uint256, ce qui a entraîné un retour de valeur de 1 pour la fonction. Cependant, le contrat a toujours utilisé la valeur _StartAmount d'origine lors de l'enregistrement des attributs de la piscine, ce qui a causé une perte de fonds grave.
Les actifs volés comprennent plusieurs jetons ERC-20, tels que MEE, ESNC, DON, ASW, KMON, POOLZ, etc. Les attaquants ont échangé une partie des jetons de profit contre des BNB, mais à ce jour, ces fonds n'ont pas encore été transférés de l'adresse de l'attaquant.
Cet incident souligne à nouveau l'importance des audits de sécurité des contrats intelligents. Pour prévenir des problèmes similaires de débordement arithmétique, les professionnels recommandent aux développeurs d'utiliser des versions plus récentes du langage de programmation Solidity, car ces versions effectuent automatiquement des vérifications de débordement lors de la compilation. Pour les projets utilisant des versions plus anciennes de Solidity, il peut être envisagé d'intégrer la bibliothèque SafeMath d'OpenZeppelin pour renforcer la sécurité des contrats.
Cet incident d'attaque nous rappelle qu'avec le développement rapide de la technologie blockchain, les problèmes de sécurité ne doivent jamais être négligés. Les équipes de développement doivent accorder une plus grande importance à l'audit des contrats et adopter des mesures de sécurité complètes pour protéger les actifs des utilisateurs contre les menaces d'attaques similaires.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
16 J'aime
Récompense
16
3
Reposter
Partager
Commentaire
0/400
WinterWarmthCat
· 08-14 22:23
Encore un débordement... Cet audit de code était-il inutile ?
Voir l'originalRépondre0
NFTragedy
· 08-14 22:20
Faites ça rapidement ! 665 000 par jour ont disparu.
Voir l'originalRépondre0
AirdropSkeptic
· 08-14 22:15
Avec si peu d'argent, vous avez le culot de faire des choses malhonnêtes ? Pas étonnant que les gens disent que la sécurité de layer2 est faible.
Poolz victime d'une attaque par débordement arithmétique, perte de 665 000 dollars.
Poolz subit une attaque par débordement arithmétique, avec une perte d'environ 665 000 dollars.
Récemment, un incident d'attaque contre la plateforme Poolz a suscité l'attention du secteur. Selon les données de surveillance en chaîne, l'attaque a eu lieu le 15 mars 2023, impliquant plusieurs réseaux tels qu'Ethereum, BNB Chain et Polygon. Les attaquants ont exploité une vulnérabilité de débordement arithmétique dans le contrat intelligent, réussissant à voler une grande quantité de jetons, d'une valeur totale d'environ 665 000 dollars.
L'attaquant a exploité un problème de dépassement d'entier dans la fonction getArraySum en manipulant habilement la fonction CreateMassPools. Plus précisément, l'attaquant a construit un tableau d'entrée spécial qui a fait que le résultat de l'addition dépasse la plage de uint256, ce qui a entraîné un retour de valeur de 1 pour la fonction. Cependant, le contrat a toujours utilisé la valeur _StartAmount d'origine lors de l'enregistrement des attributs de la piscine, ce qui a causé une perte de fonds grave.
Les actifs volés comprennent plusieurs jetons ERC-20, tels que MEE, ESNC, DON, ASW, KMON, POOLZ, etc. Les attaquants ont échangé une partie des jetons de profit contre des BNB, mais à ce jour, ces fonds n'ont pas encore été transférés de l'adresse de l'attaquant.
Cet incident souligne à nouveau l'importance des audits de sécurité des contrats intelligents. Pour prévenir des problèmes similaires de débordement arithmétique, les professionnels recommandent aux développeurs d'utiliser des versions plus récentes du langage de programmation Solidity, car ces versions effectuent automatiquement des vérifications de débordement lors de la compilation. Pour les projets utilisant des versions plus anciennes de Solidity, il peut être envisagé d'intégrer la bibliothèque SafeMath d'OpenZeppelin pour renforcer la sécurité des contrats.
Cet incident d'attaque nous rappelle qu'avec le développement rapide de la technologie blockchain, les problèmes de sécurité ne doivent jamais être négligés. Les équipes de développement doivent accorder une plus grande importance à l'audit des contrats et adopter des mesures de sécurité complètes pour protéger les actifs des utilisateurs contre les menaces d'attaques similaires.