Проект Poolz зазнав атаки, збитки приблизно 66,5 тисячі доларів США
Нещодавно інцидент безпеки, що стосується кількох блокчейнів, привернув увагу галузі. За даними моніторингу в блокчейні, в ніч з 15 березня на Poolz проект, що працює в мережах Ethereum, Binance та Polygon, було скоєно атаку, в результаті якої було втрачено велику кількість токенів на загальну суму близько 66,5 тисячі доларів.
Зловмисники скористалися вразливістю арифметичного переповнення в смарт-контракті, успішно вилучивши з проєкту кілька токенів, включаючи MEE, ESNC, DON, ASW, KMON, POOLZ тощо. Наразі частину вкрадених токенів вже обміняли на BNB, але кошти ще не були переведені.
Ця атака була спрямована переважно на функцію CreateMassPools проекту Poolz. Ця функція спочатку була розроблена для масового створення пулів ліквідності та надання початкової ліквідності. Однак через наявність проблеми переповнення цілого числа у функції getArraySum, зловмисник зміг скористатися цією вразливістю. Зловмисник, передавши певні параметри, змусив суму перевищити межі uint256, що призвело до повернення значення функції 1. Це дозволило зловмиснику внести лише 1 токен, щоб зафіксувати в системі кількість ліквідності, яка значно перевищує фактичну.
Потім зловмисник викликав функцію withdraw для виведення токенів, завершивши весь процес атаки.
Щоб запобігти повторенню подібних інцидентів, експерти галузі рекомендують розробникам використовувати новіші версії Solidity для компіляції, які автоматично виконують перевірку на переповнення. Для проєктів, що використовують нижчі версії Solidity, можна розглянути можливість впровадження бібліотеки SafeMath від OpenZeppelin для вирішення проблеми переповнення цілих чисел.
Ця подія ще раз нагадує нам, що безпека є надзвичайно важливою у розробці смарт-контрактів. Розробникам потрібно особливо звертати увагу на потенційні ризики арифметичного переповнення та вживати необхідних запобіжних заходів. Крім того, регулярні перевірки безпеки є важливим засобом для забезпечення безпеки проекту.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Проект Poolz зазнав атаки, втрати за багатьма ланцюгами склали 66,5 тисяч доларів США.
Проект Poolz зазнав атаки, збитки приблизно 66,5 тисячі доларів США
Нещодавно інцидент безпеки, що стосується кількох блокчейнів, привернув увагу галузі. За даними моніторингу в блокчейні, в ніч з 15 березня на Poolz проект, що працює в мережах Ethereum, Binance та Polygon, було скоєно атаку, в результаті якої було втрачено велику кількість токенів на загальну суму близько 66,5 тисячі доларів.
Зловмисники скористалися вразливістю арифметичного переповнення в смарт-контракті, успішно вилучивши з проєкту кілька токенів, включаючи MEE, ESNC, DON, ASW, KMON, POOLZ тощо. Наразі частину вкрадених токенів вже обміняли на BNB, але кошти ще не були переведені.
Ця атака була спрямована переважно на функцію CreateMassPools проекту Poolz. Ця функція спочатку була розроблена для масового створення пулів ліквідності та надання початкової ліквідності. Однак через наявність проблеми переповнення цілого числа у функції getArraySum, зловмисник зміг скористатися цією вразливістю. Зловмисник, передавши певні параметри, змусив суму перевищити межі uint256, що призвело до повернення значення функції 1. Це дозволило зловмиснику внести лише 1 токен, щоб зафіксувати в системі кількість ліквідності, яка значно перевищує фактичну.
Потім зловмисник викликав функцію withdraw для виведення токенів, завершивши весь процес атаки.
Щоб запобігти повторенню подібних інцидентів, експерти галузі рекомендують розробникам використовувати новіші версії Solidity для компіляції, які автоматично виконують перевірку на переповнення. Для проєктів, що використовують нижчі версії Solidity, можна розглянути можливість впровадження бібліотеки SafeMath від OpenZeppelin для вирішення проблеми переповнення цілих чисел.
Ця подія ще раз нагадує нам, що безпека є надзвичайно важливою у розробці смарт-контрактів. Розробникам потрібно особливо звертати увагу на потенційні ризики арифметичного переповнення та вживати необхідних запобіжних заходів. Крім того, регулярні перевірки безпеки є важливим засобом для забезпечення безпеки проекту.