Poolzが算術オーバーフロー攻撃に遭遇し、約665Kドルの損失

最近、複数のブロックチェーンネットワーク上のPoolzプロジェクトがハッキングされ、大量のトークンが盗まれ、総額約665,000ドルに達しました。攻撃は2023年3月15日に発生し、Ethereum、BNBスマートチェーン、Polygonなど複数のネットワークが関与しています。

! Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました!

攻撃者はPoolz契約の算術オーバーフローの脆弱性を利用しました。巧妙にCreateMassPools関数を操作することで、攻撃者は異常に大きな初期流動性を持つプールを作成できましたが、実際にはごく少量のトークンを転送するだけで済みました。この不一致は最終的に攻撃者が実際に預け入れた量をはるかに超えるトークンを引き出すことを可能にしました。

! Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました!

具体的に言うと、攻撃者は CreateMassPools 関数を呼び出す際に、uint256 のオーバーフローを引き起こす配列を渡しました。実際に移入されたトークンの数量は非常に少ないですが、オーバーフローのためにシステムは誤って巨大な初期流動性の数値を記録しました。その後、攻撃者は withdraw 関数を使用してこれらの「偽の」流動性を引き出しました。

! Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました!

今回の事件で明らかになった主な問題は整数のオーバーフローです。同様の脆弱性を防ぐために、開発者はより新しいバージョンのSolidityコンパイラーを使用することを検討すべきです。古いバージョンのSolidityを使用しているプロジェクトでは、OpenZeppelinのSafeMathライブラリを採用して整数のオーバーフローリスクを防ぐことができます。

! Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました!

この攻撃は、特にユーザー資金を扱う重要な機能において、スマートコントラクト開発における厳格なセキュリティ監査の重要性を再確認させるものでした。同時に、プロジェクト側とユーザーが常に警戒を怠らず、潜在的なセキュリティ脅威に注意を払う必要があることも思い出させます。