Poolz mengalami serangan overflow aritmatika, kehilangan sekitar 665K dolar AS
Baru-baru ini, beberapa proyek Poolz di berbagai jaringan blockchain mengalami serangan hacker, yang mengakibatkan pencurian sejumlah besar token dengan total nilai sekitar 665.000 dolar. Serangan terjadi pada 15 Maret 2023, yang melibatkan beberapa jaringan seperti Ethereum, BNB Smart Chain, dan Polygon.
Penyerang memanfaatkan kerentanan overflow aritmetika dalam kontrak Poolz. Dengan manipulasi cerdas pada fungsi CreateMassPools, penyerang mampu membuat kolam dengan likuiditas awal yang sangat besar, tetapi sebenarnya hanya perlu mentransfer sejumlah kecil token. Ketidaksesuaian ini akhirnya memungkinkan penyerang untuk menarik token jauh melebihi jumlah yang sebenarnya mereka setor.
Secara spesifik, penyerang saat memanggil fungsi CreateMassPools, mengirimkan sebuah array yang menyebabkan uint256 overflow. Meskipun jumlah token yang sebenarnya dimasukkan sangat sedikit, karena overflow, sistem dengan salah mencatat nilai likuiditas awal yang sangat besar. Kemudian, penyerang menarik "likuiditas" "palsu" ini melalui fungsi withdraw.
Masalah utama yang terungkap dalam peristiwa ini adalah overflow integer. Untuk mencegah kerentanan serupa, pengembang harus mempertimbangkan untuk menggunakan versi terbaru dari compiler Solidity, yang secara otomatis melakukan pemeriksaan overflow. Untuk proyek yang menggunakan versi Solidity yang lebih lama, dapat menggunakan pustaka SafeMath dari OpenZeppelin untuk mencegah risiko overflow integer.
Serangan kali ini sekali lagi menekankan pentingnya melakukan audit keamanan yang ketat dalam pengembangan kontrak pintar, terutama saat menangani fungsi kunci yang berhubungan dengan dana pengguna. Pada saat yang sama, ini juga mengingatkan pihak proyek dan pengguna untuk selalu waspada dan memperhatikan potensi ancaman keamanan.
Lihat Asli
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
9 Suka
Hadiah
9
3
Bagikan
Komentar
0/400
WhaleWatcher
· 07-05 08:14
Apakah audit hanya sekadar formalitas?
Lihat AsliBalas0
DAOplomacy
· 07-05 08:03
dapat dikatakan sebagai kasus lain dari primitif keamanan sub-optimal
Poolz mengalami serangan overflow aritmatika dengan kerugian multi-chain sebesar 665K dolar AS
Poolz mengalami serangan overflow aritmatika, kehilangan sekitar 665K dolar AS
Baru-baru ini, beberapa proyek Poolz di berbagai jaringan blockchain mengalami serangan hacker, yang mengakibatkan pencurian sejumlah besar token dengan total nilai sekitar 665.000 dolar. Serangan terjadi pada 15 Maret 2023, yang melibatkan beberapa jaringan seperti Ethereum, BNB Smart Chain, dan Polygon.
Penyerang memanfaatkan kerentanan overflow aritmetika dalam kontrak Poolz. Dengan manipulasi cerdas pada fungsi CreateMassPools, penyerang mampu membuat kolam dengan likuiditas awal yang sangat besar, tetapi sebenarnya hanya perlu mentransfer sejumlah kecil token. Ketidaksesuaian ini akhirnya memungkinkan penyerang untuk menarik token jauh melebihi jumlah yang sebenarnya mereka setor.
Secara spesifik, penyerang saat memanggil fungsi CreateMassPools, mengirimkan sebuah array yang menyebabkan uint256 overflow. Meskipun jumlah token yang sebenarnya dimasukkan sangat sedikit, karena overflow, sistem dengan salah mencatat nilai likuiditas awal yang sangat besar. Kemudian, penyerang menarik "likuiditas" "palsu" ini melalui fungsi withdraw.
Masalah utama yang terungkap dalam peristiwa ini adalah overflow integer. Untuk mencegah kerentanan serupa, pengembang harus mempertimbangkan untuk menggunakan versi terbaru dari compiler Solidity, yang secara otomatis melakukan pemeriksaan overflow. Untuk proyek yang menggunakan versi Solidity yang lebih lama, dapat menggunakan pustaka SafeMath dari OpenZeppelin untuk mencegah risiko overflow integer.
Serangan kali ini sekali lagi menekankan pentingnya melakukan audit keamanan yang ketat dalam pengembangan kontrak pintar, terutama saat menangani fungsi kunci yang berhubungan dengan dana pengguna. Pada saat yang sama, ini juga mengingatkan pihak proyek dan pengguna untuk selalu waspada dan memperhatikan potensi ancaman keamanan.