Poolz sufre un ataque de desbordamiento aritmético, con pérdidas de aproximadamente 665K dólares
Recientemente, un ataque dirigido a la plataforma Poolz ha captado la amplia atención de la comunidad de criptomonedas. Los atacantes aprovecharon una vulnerabilidad de desbordamiento aritmético en el contrato inteligente para robar con éxito activos criptográficos por un valor de aproximadamente 66.5 mil dólares de múltiples redes, incluyendo Ethereum, BNB Chain y Polygon.
Según los datos en la cadena, este ataque ocurrió el 15 de marzo de 2023 e involucró múltiples tokens, incluyendo MEE, ESNC, DON, ASW, KMON, POOLZ, entre otros. Los atacantes explotaron una vulnerabilidad en la función CreateMassPools de la plataforma Poolz a través de maniobras ingeniosas.
El problema central del ataque reside en la función getArraySum. Esta función debería utilizarse para calcular la liquidez inicial al crear lotes de pools por parte de los usuarios, pero debido a un desbordamiento de enteros, el atacante solo necesita transferir una cantidad mínima de tokens para crear pools con una gran liquidez falsa. Posteriormente, el atacante extrajo la cantidad de tokens incorrectamente registrados a través de la función withdraw.
El análisis técnico muestra que los atacantes primero intercambiaron una pequeña cantidad de tokens MNZ a través de un intercambio descentralizado. Luego, invocaron la función CreateMassPools, que tenía una vulnerabilidad, pasando parámetros cuidadosamente elaborados que hicieron que el arreglo _StartAmount excediera el valor máximo de uint256 durante la acumulación, causando un desbordamiento. Esto llevó al sistema a pensar que los atacantes habían proporcionado una gran cantidad de liquidez, cuando en realidad solo transfirieron 1 token.
Para evitar que este tipo de problemas vuelva a ocurrir, los expertos de la industria sugieren a los desarrolladores que utilicen versiones más recientes del lenguaje de programación Solidity, que realizan automáticamente las comprobaciones de desbordamiento durante el proceso de compilación. Para los proyectos que utilizan versiones antiguas de Solidity, se recomienda introducir la biblioteca SafeMath de OpenZeppelin para manejar operaciones enteras y así evitar el riesgo de desbordamiento.
Este evento destaca una vez más la importancia de la auditoría de seguridad de los contratos inteligentes. A medida que el ecosistema de finanzas descentralizadas (DeFi) sigue desarrollándose, los equipos de proyectos deben prestar más atención a la seguridad del código, realizar revisiones de seguridad periódicas y corregir de manera oportuna las vulnerabilidades potenciales para proteger la seguridad de los activos de los usuarios.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
15 me gusta
Recompensa
15
3
Republicar
Compartir
Comentar
0/400
token_therapist
· hace5h
Jugar con la trampa de siempre.
Ver originalesResponder0
faded_wojak.eth
· hace5h
Otra empresa condenada,sad
Ver originalesResponder0
LiquidatedTwice
· hace5h
Otra vez una vulnerabilidad en contratos inteligentes
Poolz sufre un ataque de desbordamiento aritmético, pérdidas de 665,000 dólares en múltiples cadenas.
Poolz sufre un ataque de desbordamiento aritmético, con pérdidas de aproximadamente 665K dólares
Recientemente, un ataque dirigido a la plataforma Poolz ha captado la amplia atención de la comunidad de criptomonedas. Los atacantes aprovecharon una vulnerabilidad de desbordamiento aritmético en el contrato inteligente para robar con éxito activos criptográficos por un valor de aproximadamente 66.5 mil dólares de múltiples redes, incluyendo Ethereum, BNB Chain y Polygon.
Según los datos en la cadena, este ataque ocurrió el 15 de marzo de 2023 e involucró múltiples tokens, incluyendo MEE, ESNC, DON, ASW, KMON, POOLZ, entre otros. Los atacantes explotaron una vulnerabilidad en la función CreateMassPools de la plataforma Poolz a través de maniobras ingeniosas.
El problema central del ataque reside en la función getArraySum. Esta función debería utilizarse para calcular la liquidez inicial al crear lotes de pools por parte de los usuarios, pero debido a un desbordamiento de enteros, el atacante solo necesita transferir una cantidad mínima de tokens para crear pools con una gran liquidez falsa. Posteriormente, el atacante extrajo la cantidad de tokens incorrectamente registrados a través de la función withdraw.
El análisis técnico muestra que los atacantes primero intercambiaron una pequeña cantidad de tokens MNZ a través de un intercambio descentralizado. Luego, invocaron la función CreateMassPools, que tenía una vulnerabilidad, pasando parámetros cuidadosamente elaborados que hicieron que el arreglo _StartAmount excediera el valor máximo de uint256 durante la acumulación, causando un desbordamiento. Esto llevó al sistema a pensar que los atacantes habían proporcionado una gran cantidad de liquidez, cuando en realidad solo transfirieron 1 token.
Para evitar que este tipo de problemas vuelva a ocurrir, los expertos de la industria sugieren a los desarrolladores que utilicen versiones más recientes del lenguaje de programación Solidity, que realizan automáticamente las comprobaciones de desbordamiento durante el proceso de compilación. Para los proyectos que utilizan versiones antiguas de Solidity, se recomienda introducir la biblioteca SafeMath de OpenZeppelin para manejar operaciones enteras y así evitar el riesgo de desbordamiento.
Este evento destaca una vez más la importancia de la auditoría de seguridad de los contratos inteligentes. A medida que el ecosistema de finanzas descentralizadas (DeFi) sigue desarrollándose, los equipos de proyectos deben prestar más atención a la seguridad del código, realizar revisiones de seguridad periódicas y corregir de manera oportuna las vulnerabilidades potenciales para proteger la seguridad de los activos de los usuarios.