Poolz sufre un ataque de desbordamiento aritmético, con pérdidas de aproximadamente 665K dólares.
Recientemente, varios proyectos de Poolz en múltiples redes blockchain han sido atacados por hackers, lo que ha provocado el robo de una gran cantidad de tokens, con un valor total de aproximadamente 665,000 dólares. El ataque ocurrió el 15 de marzo de 2023 e involucró varias redes, incluidas Ethereum, la Binance Smart Chain y Polygon.
Los atacantes aprovecharon una vulnerabilidad de desbordamiento aritmético en el contrato de Poolz. A través de la manipulación astuta de la función CreateMassPools, los atacantes pudieron crear piscinas con una liquidez inicial anormalmente alta, cuando en realidad solo necesitaban transferir una cantidad mínima de tokens. Esta inconsistencia finalmente permitió a los atacantes extraer tokens muy por encima de la cantidad que realmente depositaron.
En concreto, el atacante pasó un array que causaba un desbordamiento de uint256 al llamar a la función CreateMassPools. Aunque la cantidad de tokens realmente transferidos fue muy pequeña, debido al desbordamiento, el sistema registró erróneamente un enorme valor de liquidez inicial. Posteriormente, el atacante extrajo esta liquidez "falsa" a través de la función withdraw.
El problema principal expuesto por este incidente es el desbordamiento de enteros. Para prevenir vulnerabilidades similares, los desarrolladores deberían considerar utilizar versiones más nuevas del compilador de Solidity, que realizan automáticamente verificaciones de desbordamiento. Para los proyectos que utilizan versiones más antiguas de Solidity, se puede adoptar la biblioteca SafeMath de OpenZeppelin para mitigar el riesgo de desbordamiento de enteros.
Este ataque vuelve a enfatizar la importancia de realizar auditorías de seguridad rigurosas en el desarrollo de contratos inteligentes, especialmente en las funciones clave que manejan los fondos de los usuarios. Al mismo tiempo, también recuerda a los proyectos y a los usuarios que deben mantenerse siempre alerta y prestar atención a las posibles amenazas de seguridad.
Ver originales
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
8 me gusta
Recompensa
8
3
Compartir
Comentar
0/400
WhaleWatcher
· hace22h
¿La auditoría es solo una fachada?
Ver originalesResponder0
DAOplomacy
· hace22h
sin duda otro caso de primitivas de seguridad subóptimas
Poolz sufre un ataque de desbordamiento aritmético, pérdida de 665K dólares en múltiples cadenas.
Poolz sufre un ataque de desbordamiento aritmético, con pérdidas de aproximadamente 665K dólares.
Recientemente, varios proyectos de Poolz en múltiples redes blockchain han sido atacados por hackers, lo que ha provocado el robo de una gran cantidad de tokens, con un valor total de aproximadamente 665,000 dólares. El ataque ocurrió el 15 de marzo de 2023 e involucró varias redes, incluidas Ethereum, la Binance Smart Chain y Polygon.
Los atacantes aprovecharon una vulnerabilidad de desbordamiento aritmético en el contrato de Poolz. A través de la manipulación astuta de la función CreateMassPools, los atacantes pudieron crear piscinas con una liquidez inicial anormalmente alta, cuando en realidad solo necesitaban transferir una cantidad mínima de tokens. Esta inconsistencia finalmente permitió a los atacantes extraer tokens muy por encima de la cantidad que realmente depositaron.
En concreto, el atacante pasó un array que causaba un desbordamiento de uint256 al llamar a la función CreateMassPools. Aunque la cantidad de tokens realmente transferidos fue muy pequeña, debido al desbordamiento, el sistema registró erróneamente un enorme valor de liquidez inicial. Posteriormente, el atacante extrajo esta liquidez "falsa" a través de la función withdraw.
El problema principal expuesto por este incidente es el desbordamiento de enteros. Para prevenir vulnerabilidades similares, los desarrolladores deberían considerar utilizar versiones más nuevas del compilador de Solidity, que realizan automáticamente verificaciones de desbordamiento. Para los proyectos que utilizan versiones más antiguas de Solidity, se puede adoptar la biblioteca SafeMath de OpenZeppelin para mitigar el riesgo de desbordamiento de enteros.
Este ataque vuelve a enfatizar la importancia de realizar auditorías de seguridad rigurosas en el desarrollo de contratos inteligentes, especialmente en las funciones clave que manejan los fondos de los usuarios. Al mismo tiempo, también recuerda a los proyectos y a los usuarios que deben mantenerse siempre alerta y prestar atención a las posibles amenazas de seguridad.