Proyek Poolz diserang, kerugian sekitar 66,5 ribu dolar AS
Baru-baru ini, sebuah insiden keamanan yang melibatkan beberapa blockchain menarik perhatian industri. Menurut data pemantauan di blockchain, pada dini hari 15 Maret, proyek Poolz di jaringan Ethereum, Binance, dan Polygon diserang, mengakibatkan kehilangan banyak token dengan total nilai sekitar 66,5 ribu dolar AS.
Penyerang memanfaatkan celah overflow aritmatika dalam kontrak pintar untuk berhasil mengekstrak berbagai token dari proyek, termasuk MEE, ESNC, DON, ASW, KMON, POOLZ, dan lainnya. Saat ini, sebagian token yang dicuri telah ditukar menjadi BNB, tetapi dana belum dipindahkan.
Serangan ini terutama menargetkan fungsi CreateMassPools dari proyek Poolz. Fungsi ini awalnya dirancang untuk membuat kumpulan likuiditas secara massal dan menyediakan likuiditas awal. Namun, karena ada masalah overflow integer dalam fungsi getArraySum, penyerang dapat memanfaatkan celah ini. Penyerang dengan memasukkan parameter tertentu, membuat hasil penjumlahan melampaui batas uint256, yang mengakibatkan nilai kembalian fungsi menjadi 1. Ini memungkinkan penyerang hanya perlu mengirimkan 1 token, untuk mencatat di sistem jumlah likuiditas yang jauh lebih besar daripada jumlah yang sebenarnya.
Kemudian, penyerang menggunakan fungsi withdraw untuk menarik token, menyelesaikan seluruh proses serangan.
Untuk mencegah kejadian serupa terjadi lagi, para ahli industri menyarankan pengembang untuk menggunakan versi Solidity yang lebih baru untuk kompilasi, yang secara otomatis melakukan pemeriksaan overflow. Untuk proyek yang menggunakan versi Solidity yang lebih rendah, dapat mempertimbangkan untuk memperkenalkan pustaka SafeMath dari OpenZeppelin untuk mengatasi masalah overflow integer.
Kejadian ini sekali lagi mengingatkan kita bahwa keamanan sangat penting dalam pengembangan kontrak pintar. Pengembang perlu sangat memperhatikan risiko overflow aritmetika yang potensial dan mengambil langkah pencegahan yang diperlukan. Selain itu, melakukan audit keamanan secara berkala juga merupakan cara penting untuk menjaga keamanan proyek.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Proyek Poolz diserang, kerugian lintas rantai sebesar 66,5 ribu dolar AS
Proyek Poolz diserang, kerugian sekitar 66,5 ribu dolar AS
Baru-baru ini, sebuah insiden keamanan yang melibatkan beberapa blockchain menarik perhatian industri. Menurut data pemantauan di blockchain, pada dini hari 15 Maret, proyek Poolz di jaringan Ethereum, Binance, dan Polygon diserang, mengakibatkan kehilangan banyak token dengan total nilai sekitar 66,5 ribu dolar AS.
Penyerang memanfaatkan celah overflow aritmatika dalam kontrak pintar untuk berhasil mengekstrak berbagai token dari proyek, termasuk MEE, ESNC, DON, ASW, KMON, POOLZ, dan lainnya. Saat ini, sebagian token yang dicuri telah ditukar menjadi BNB, tetapi dana belum dipindahkan.
Serangan ini terutama menargetkan fungsi CreateMassPools dari proyek Poolz. Fungsi ini awalnya dirancang untuk membuat kumpulan likuiditas secara massal dan menyediakan likuiditas awal. Namun, karena ada masalah overflow integer dalam fungsi getArraySum, penyerang dapat memanfaatkan celah ini. Penyerang dengan memasukkan parameter tertentu, membuat hasil penjumlahan melampaui batas uint256, yang mengakibatkan nilai kembalian fungsi menjadi 1. Ini memungkinkan penyerang hanya perlu mengirimkan 1 token, untuk mencatat di sistem jumlah likuiditas yang jauh lebih besar daripada jumlah yang sebenarnya.
Kemudian, penyerang menggunakan fungsi withdraw untuk menarik token, menyelesaikan seluruh proses serangan.
Untuk mencegah kejadian serupa terjadi lagi, para ahli industri menyarankan pengembang untuk menggunakan versi Solidity yang lebih baru untuk kompilasi, yang secara otomatis melakukan pemeriksaan overflow. Untuk proyek yang menggunakan versi Solidity yang lebih rendah, dapat mempertimbangkan untuk memperkenalkan pustaka SafeMath dari OpenZeppelin untuk mengatasi masalah overflow integer.
Kejadian ini sekali lagi mengingatkan kita bahwa keamanan sangat penting dalam pengembangan kontrak pintar. Pengembang perlu sangat memperhatikan risiko overflow aritmetika yang potensial dan mengambil langkah pencegahan yang diperlukan. Selain itu, melakukan audit keamanan secara berkala juga merupakan cara penting untuk menjaga keamanan proyek.