Dự án Poolz bị tấn công, thiệt hại khoảng 66.5 triệu đô la
Gần đây, một sự kiện an ninh liên quan đến nhiều blockchain đã thu hút sự chú ý của giới trong ngành. Theo dữ liệu giám sát trên chuỗi, vào rạng sáng ngày 15 tháng 3, dự án Poolz trên các mạng Ethereum, Binance và Polygon đã bị tấn công, gây ra thiệt hại lớn về token, tổng giá trị khoảng 66,5 triệu USD.
Kẻ tấn công đã lợi dụng lỗ hổng tràn số học trong hợp đồng thông minh để thành công rút nhiều loại token từ dự án, bao gồm MEE, ESNC, DON, ASW, KMON, POOLZ, v.v. Hiện tại, một phần token bị đánh cắp đã được đổi sang BNB, nhưng tiền vẫn chưa được chuyển.
Cuộc tấn công này chủ yếu nhắm vào hàm CreateMassPools của dự án Poolz. Hàm này ban đầu được thiết kế để tạo hàng loạt các pool thanh khoản và cung cấp thanh khoản ban đầu. Tuy nhiên, do vấn đề tràn số nguyên trong hàm getArraySum, kẻ tấn công đã tận dụng được lỗ hổng này. Kẻ tấn công đã truyền vào các tham số cụ thể, khiến kết quả cộng dồn vượt quá phạm vi của uint256, dẫn đến giá trị trả về của hàm là 1. Điều này khiến kẻ tấn công chỉ cần chuyển vào 1 token, đã có thể ghi nhận trong hệ thống một lượng thanh khoản lớn hơn rất nhiều so với số lượng thực tế.
Sau đó, kẻ tấn công đã gọi hàm withdraw để rút token, hoàn thành toàn bộ quá trình tấn công.
Để ngăn chặn các sự cố tương tự xảy ra, các chuyên gia trong ngành khuyên các nhà phát triển sử dụng phiên bản Solidity mới hơn để biên dịch, những phiên bản này sẽ tự động kiểm tra tràn số. Đối với các dự án sử dụng phiên bản Solidity thấp hơn, có thể xem xét việc đưa vào thư viện SafeMath của OpenZeppelin để giải quyết vấn đề tràn số nguyên.
Sự kiện này một lần nữa nhắc nhở chúng ta rằng an ninh là vô cùng quan trọng trong phát triển hợp đồng thông minh. Các nhà phát triển cần chú ý đặc biệt đến các rủi ro tràn số và thực hiện các biện pháp phòng ngừa cần thiết. Đồng thời, việc thực hiện kiểm toán an ninh định kỳ cũng là một phương pháp quan trọng để đảm bảo an toàn cho dự án.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Dự án Poolz bị tấn công, thiệt hại 665.000 USD trên nhiều chuỗi.
Dự án Poolz bị tấn công, thiệt hại khoảng 66.5 triệu đô la
Gần đây, một sự kiện an ninh liên quan đến nhiều blockchain đã thu hút sự chú ý của giới trong ngành. Theo dữ liệu giám sát trên chuỗi, vào rạng sáng ngày 15 tháng 3, dự án Poolz trên các mạng Ethereum, Binance và Polygon đã bị tấn công, gây ra thiệt hại lớn về token, tổng giá trị khoảng 66,5 triệu USD.
Kẻ tấn công đã lợi dụng lỗ hổng tràn số học trong hợp đồng thông minh để thành công rút nhiều loại token từ dự án, bao gồm MEE, ESNC, DON, ASW, KMON, POOLZ, v.v. Hiện tại, một phần token bị đánh cắp đã được đổi sang BNB, nhưng tiền vẫn chưa được chuyển.
Cuộc tấn công này chủ yếu nhắm vào hàm CreateMassPools của dự án Poolz. Hàm này ban đầu được thiết kế để tạo hàng loạt các pool thanh khoản và cung cấp thanh khoản ban đầu. Tuy nhiên, do vấn đề tràn số nguyên trong hàm getArraySum, kẻ tấn công đã tận dụng được lỗ hổng này. Kẻ tấn công đã truyền vào các tham số cụ thể, khiến kết quả cộng dồn vượt quá phạm vi của uint256, dẫn đến giá trị trả về của hàm là 1. Điều này khiến kẻ tấn công chỉ cần chuyển vào 1 token, đã có thể ghi nhận trong hệ thống một lượng thanh khoản lớn hơn rất nhiều so với số lượng thực tế.
Sau đó, kẻ tấn công đã gọi hàm withdraw để rút token, hoàn thành toàn bộ quá trình tấn công.
Để ngăn chặn các sự cố tương tự xảy ra, các chuyên gia trong ngành khuyên các nhà phát triển sử dụng phiên bản Solidity mới hơn để biên dịch, những phiên bản này sẽ tự động kiểm tra tràn số. Đối với các dự án sử dụng phiên bản Solidity thấp hơn, có thể xem xét việc đưa vào thư viện SafeMath của OpenZeppelin để giải quyết vấn đề tràn số nguyên.
Sự kiện này một lần nữa nhắc nhở chúng ta rằng an ninh là vô cùng quan trọng trong phát triển hợp đồng thông minh. Các nhà phát triển cần chú ý đặc biệt đến các rủi ro tràn số và thực hiện các biện pháp phòng ngừa cần thiết. Đồng thời, việc thực hiện kiểm toán an ninh định kỳ cũng là một phương pháp quan trọng để đảm bảo an toàn cho dự án.