Poolz mengalami serangan overflow aritmatika, kehilangan sekitar 665K dolar AS
Baru-baru ini, sebuah insiden serangan terhadap platform Poolz menarik perhatian luas dari komunitas cryptocurrency. Penyerang memanfaatkan kerentanan overflow aritmetika dalam kontrak pintar, berhasil mencuri aset kripto senilai sekitar 665.000 dolar AS dari beberapa jaringan seperti Ethereum, BNB Chain, dan Polygon.
Menurut data di blockchain, serangan ini terjadi pada 15 Maret 2023, melibatkan berbagai token, termasuk MEE, ESNC, DON, ASW, KMON, POOLZ, dan lainnya. Penyerang dengan cerdik mengeksploitasi celah dalam fungsi CreateMassPools di platform Poolz.
Masalah inti dari serangan terletak pada fungsi getArraySum. Fungsi ini seharusnya digunakan untuk menghitung likuiditas awal saat pengguna membuat kolam secara massal, tetapi karena overflownya integer, penyerang hanya perlu mentransfer sejumlah kecil token untuk membuat kolam dengan likuiditas palsu yang besar. Selanjutnya, penyerang menarik jumlah token yang tercatat secara keliru melalui fungsi withdraw.
Analisis teknis menunjukkan bahwa penyerang pertama kali menukarkan sejumlah kecil token MNZ melalui sebuah bursa terdesentralisasi. Kemudian, mereka memanggil fungsi CreateMassPools yang memiliki kerentanan, dengan mengirimkan parameter yang dirancang dengan cermat sehingga array _StartAmount melebihi nilai maksimum uint256 saat dijumlahkan, menyebabkan overflow. Ini membuat sistem salah mengira bahwa penyerang telah menyediakan likuiditas yang besar, padahal sebenarnya hanya mentransfer 1 token.
Untuk mencegah masalah seperti ini terjadi lagi, para ahli di industri menyarankan para pengembang untuk menggunakan versi terbaru dari bahasa pemrograman Solidity, yang secara otomatis melakukan pemeriksaan overflow selama proses kompilasi. Untuk proyek yang menggunakan versi lama Solidity, disarankan untuk mengintegrasikan pustaka SafeMath dari OpenZeppelin untuk menangani perhitungan integer, sehingga menghindari risiko overflow.
Peristiwa ini sekali lagi menyoroti pentingnya audit keamanan kontrak pintar. Seiring dengan terus berkembangnya ekosistem keuangan terdesentralisasi (DeFi), pihak proyek perlu lebih memperhatikan keamanan kode, secara berkala melakukan pemeriksaan keamanan, dan segera memperbaiki potensi kerentanan untuk melindungi keamanan aset pengguna.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Poolz mengalami serangan overflow aritmetika dengan kerugian multi-rantai sebesar 66,5 ribu dolar AS.
Poolz mengalami serangan overflow aritmatika, kehilangan sekitar 665K dolar AS
Baru-baru ini, sebuah insiden serangan terhadap platform Poolz menarik perhatian luas dari komunitas cryptocurrency. Penyerang memanfaatkan kerentanan overflow aritmetika dalam kontrak pintar, berhasil mencuri aset kripto senilai sekitar 665.000 dolar AS dari beberapa jaringan seperti Ethereum, BNB Chain, dan Polygon.
Menurut data di blockchain, serangan ini terjadi pada 15 Maret 2023, melibatkan berbagai token, termasuk MEE, ESNC, DON, ASW, KMON, POOLZ, dan lainnya. Penyerang dengan cerdik mengeksploitasi celah dalam fungsi CreateMassPools di platform Poolz.
Masalah inti dari serangan terletak pada fungsi getArraySum. Fungsi ini seharusnya digunakan untuk menghitung likuiditas awal saat pengguna membuat kolam secara massal, tetapi karena overflownya integer, penyerang hanya perlu mentransfer sejumlah kecil token untuk membuat kolam dengan likuiditas palsu yang besar. Selanjutnya, penyerang menarik jumlah token yang tercatat secara keliru melalui fungsi withdraw.
Analisis teknis menunjukkan bahwa penyerang pertama kali menukarkan sejumlah kecil token MNZ melalui sebuah bursa terdesentralisasi. Kemudian, mereka memanggil fungsi CreateMassPools yang memiliki kerentanan, dengan mengirimkan parameter yang dirancang dengan cermat sehingga array _StartAmount melebihi nilai maksimum uint256 saat dijumlahkan, menyebabkan overflow. Ini membuat sistem salah mengira bahwa penyerang telah menyediakan likuiditas yang besar, padahal sebenarnya hanya mentransfer 1 token.
Untuk mencegah masalah seperti ini terjadi lagi, para ahli di industri menyarankan para pengembang untuk menggunakan versi terbaru dari bahasa pemrograman Solidity, yang secara otomatis melakukan pemeriksaan overflow selama proses kompilasi. Untuk proyek yang menggunakan versi lama Solidity, disarankan untuk mengintegrasikan pustaka SafeMath dari OpenZeppelin untuk menangani perhitungan integer, sehingga menghindari risiko overflow.
Peristiwa ini sekali lagi menyoroti pentingnya audit keamanan kontrak pintar. Seiring dengan terus berkembangnya ekosistem keuangan terdesentralisasi (DeFi), pihak proyek perlu lebih memperhatikan keamanan kode, secara berkala melakukan pemeriksaan keamanan, dan segera memperbaiki potensi kerentanan untuk melindungi keamanan aset pengguna.