Poolz gặp phải cuộc tấn công lỗ hổng tràn số học, thiệt hại khoảng 66,5 triệu đô la
Gần đây, một sự kiện tấn công nhằm vào nền tảng Poolz đã thu hút sự chú ý của ngành. Theo dữ liệu giám sát trên chuỗi, cuộc tấn công diễn ra vào ngày 15 tháng 3 năm 2023, liên quan đến nhiều mạng như Ethereum, BNB Chain và Polygon. Kẻ tấn công đã lợi dụng lỗ hổng tràn số học trong hợp đồng thông minh để thành công đánh cắp số lượng lớn token, tổng giá trị khoảng 66,5 triệu đô la.
Kẻ tấn công đã khéo léo vận dụng hàm CreateMassPools, lợi dụng vấn đề tràn số nguyên trong hàm getArraySum. Cụ thể, kẻ tấn công đã tạo ra một mảng đầu vào đặc biệt khiến kết quả cộng dồn vượt quá phạm vi của uint256, dẫn đến giá trị trả về của hàm là 1. Tuy nhiên, hợp đồng vẫn sử dụng giá trị _StartAmount ban đầu khi ghi lại thuộc tính của hồ bơi, gây ra thiệt hại tài chính nghiêm trọng.
Tài sản bị đánh cắp bao gồm nhiều loại token ERC-20, như MEE, ESNC, DON, ASW, KMON, POOLZ, v.v. Kẻ tấn công đã đổi một phần token thu lợi sang BNB, nhưng cho đến nay, những khoản tiền này vẫn chưa được chuyển ra khỏi địa chỉ của kẻ tấn công.
Sự kiện này một lần nữa nhấn mạnh tầm quan trọng của việc kiểm toán an ninh hợp đồng thông minh. Để ngăn chặn các vấn đề tràn số học tương tự, các chuyên gia khuyến nghị các nhà phát triển sử dụng phiên bản mới hơn của ngôn ngữ lập trình Solidity, vì những phiên bản này sẽ tự động thực hiện kiểm tra tràn trong quá trình biên dịch. Đối với các dự án sử dụng phiên bản Solidity cũ hơn, có thể xem xét việc đưa vào thư viện SafeMath của OpenZeppelin để tăng cường độ an toàn cho hợp đồng.
Sự kiện tấn công lần này nhắc nhở chúng ta rằng, trong khi công nghệ chuỗi khối đang phát triển nhanh chóng, vấn đề an ninh luôn không thể bị xem nhẹ. Nhóm phát triển nên chú trọng hơn đến việc kiểm toán hợp đồng, thực hiện các biện pháp an toàn toàn diện để bảo vệ tài sản của người dùng khỏi những mối đe dọa tấn công tương tự.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
16 thích
Phần thưởng
16
3
Đăng lại
Chia sẻ
Bình luận
0/400
WinterWarmthCat
· 08-14 22:23
Lại một lần nữa tràn số... Kiểm toán mã này có phải là vô ích không?
Xem bản gốcTrả lời0
NFTragedy
· 08-14 22:20
Làm nhanh lên! Một ngày mất 665.000.
Xem bản gốcTrả lời0
AirdropSkeptic
· 08-14 22:15
Với số tiền này mà cũng dám lừa đảo? Không có gì lạ khi mọi người đều nói rằng layer2 có độ an toàn kém.
Poolz gặp phải tấn công lỗ hổng tràn số, thiệt hại 66.5 nghìn đô la Mỹ
Poolz gặp phải cuộc tấn công lỗ hổng tràn số học, thiệt hại khoảng 66,5 triệu đô la
Gần đây, một sự kiện tấn công nhằm vào nền tảng Poolz đã thu hút sự chú ý của ngành. Theo dữ liệu giám sát trên chuỗi, cuộc tấn công diễn ra vào ngày 15 tháng 3 năm 2023, liên quan đến nhiều mạng như Ethereum, BNB Chain và Polygon. Kẻ tấn công đã lợi dụng lỗ hổng tràn số học trong hợp đồng thông minh để thành công đánh cắp số lượng lớn token, tổng giá trị khoảng 66,5 triệu đô la.
Kẻ tấn công đã khéo léo vận dụng hàm CreateMassPools, lợi dụng vấn đề tràn số nguyên trong hàm getArraySum. Cụ thể, kẻ tấn công đã tạo ra một mảng đầu vào đặc biệt khiến kết quả cộng dồn vượt quá phạm vi của uint256, dẫn đến giá trị trả về của hàm là 1. Tuy nhiên, hợp đồng vẫn sử dụng giá trị _StartAmount ban đầu khi ghi lại thuộc tính của hồ bơi, gây ra thiệt hại tài chính nghiêm trọng.
Tài sản bị đánh cắp bao gồm nhiều loại token ERC-20, như MEE, ESNC, DON, ASW, KMON, POOLZ, v.v. Kẻ tấn công đã đổi một phần token thu lợi sang BNB, nhưng cho đến nay, những khoản tiền này vẫn chưa được chuyển ra khỏi địa chỉ của kẻ tấn công.
Sự kiện này một lần nữa nhấn mạnh tầm quan trọng của việc kiểm toán an ninh hợp đồng thông minh. Để ngăn chặn các vấn đề tràn số học tương tự, các chuyên gia khuyến nghị các nhà phát triển sử dụng phiên bản mới hơn của ngôn ngữ lập trình Solidity, vì những phiên bản này sẽ tự động thực hiện kiểm tra tràn trong quá trình biên dịch. Đối với các dự án sử dụng phiên bản Solidity cũ hơn, có thể xem xét việc đưa vào thư viện SafeMath của OpenZeppelin để tăng cường độ an toàn cho hợp đồng.
Sự kiện tấn công lần này nhắc nhở chúng ta rằng, trong khi công nghệ chuỗi khối đang phát triển nhanh chóng, vấn đề an ninh luôn không thể bị xem nhẹ. Nhóm phát triển nên chú trọng hơn đến việc kiểm toán hợp đồng, thực hiện các biện pháp an toàn toàn diện để bảo vệ tài sản của người dùng khỏi những mối đe dọa tấn công tương tự.