Poolz sofreu um ataque de estouro aritmético, com perdas de cerca de 665K dólares
Recentemente, vários projetos Poolz em redes de blockchain sofreram ataques de hackers, resultando no roubo de uma grande quantidade de tokens, com um valor total de cerca de 665.000 dólares. O ataque ocorreu em 15 de março de 2023, envolvendo várias redes, incluindo Ethereum, BNB Smart Chain e Polygon.
Os atacantes exploraram uma vulnerabilidade de estouro aritmético no contrato da Poolz. Ao manipular habilmente a função CreateMassPools, os atacantes conseguiram criar pools com uma liquidez inicial anormalmente alta, mas na verdade precisaram transferir apenas uma quantidade muito pequena de tokens. Essa inconsistência acabou permitindo que os atacantes retirassem tokens em quantidade muito superior ao que realmente depositaram.
Especificamente, o atacante chamou a função CreateMassPools e passou um array que causaria um estouro de uint256. Embora a quantidade de tokens realmente transferida fosse pequena, devido ao estouro, o sistema registrou erroneamente um enorme valor de liquidez inicial. Em seguida, o atacante retirou essa liquidez "falsa" através da função withdraw.
O principal problema exposto por este incidente é o estouro de inteiros. Para evitar vulnerabilidades semelhantes, os desenvolvedores devem considerar o uso de versões mais recentes do compilador Solidity, que realizam automaticamente verificações de estouro. Para projetos que utilizam versões mais antigas do Solidity, pode-se empregar a biblioteca SafeMath da OpenZeppelin para mitigar o risco de estouro de inteiros.
Este ataque ressalta novamente a importância de realizar auditorias de segurança rigorosas no desenvolvimento de contratos inteligentes, especialmente ao lidar com funcionalidades críticas que envolvem fundos dos usuários. Ao mesmo tempo, também serve como um lembrete para os projetos e usuários estarem sempre vigilantes, prestando atenção às potenciais ameaças à segurança.
Ver original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
8 gostos
Recompensa
8
3
Partilhar
Comentar
0/400
WhaleWatcher
· 22h atrás
A auditoria é apenas uma formalidade?
Ver originalResponder0
DAOplomacy
· 22h atrás
provavelmente mais um caso de primitivos de segurança sub-ótimos
Poolz sofre ataque de estouro aritmético, perda de 665K dólares em múltiplas cadeias.
Poolz sofreu um ataque de estouro aritmético, com perdas de cerca de 665K dólares
Recentemente, vários projetos Poolz em redes de blockchain sofreram ataques de hackers, resultando no roubo de uma grande quantidade de tokens, com um valor total de cerca de 665.000 dólares. O ataque ocorreu em 15 de março de 2023, envolvendo várias redes, incluindo Ethereum, BNB Smart Chain e Polygon.
Os atacantes exploraram uma vulnerabilidade de estouro aritmético no contrato da Poolz. Ao manipular habilmente a função CreateMassPools, os atacantes conseguiram criar pools com uma liquidez inicial anormalmente alta, mas na verdade precisaram transferir apenas uma quantidade muito pequena de tokens. Essa inconsistência acabou permitindo que os atacantes retirassem tokens em quantidade muito superior ao que realmente depositaram.
Especificamente, o atacante chamou a função CreateMassPools e passou um array que causaria um estouro de uint256. Embora a quantidade de tokens realmente transferida fosse pequena, devido ao estouro, o sistema registrou erroneamente um enorme valor de liquidez inicial. Em seguida, o atacante retirou essa liquidez "falsa" através da função withdraw.
O principal problema exposto por este incidente é o estouro de inteiros. Para evitar vulnerabilidades semelhantes, os desenvolvedores devem considerar o uso de versões mais recentes do compilador Solidity, que realizam automaticamente verificações de estouro. Para projetos que utilizam versões mais antigas do Solidity, pode-se empregar a biblioteca SafeMath da OpenZeppelin para mitigar o risco de estouro de inteiros.
Este ataque ressalta novamente a importância de realizar auditorias de segurança rigorosas no desenvolvimento de contratos inteligentes, especialmente ao lidar com funcionalidades críticas que envolvem fundos dos usuários. Ao mesmo tempo, também serve como um lembrete para os projetos e usuários estarem sempre vigilantes, prestando atenção às potenciais ameaças à segurança.