El proyecto Poolz sufrió un ataque, con pérdidas de aproximadamente 66.5 mil dólares.
Recientemente, un ataque contra el proyecto multichain Poolz ha llamado la atención de la industria. Según los datos de monitoreo de blockchain, el ataque ocurrió el 15 de marzo de 2023, involucrando las cadenas Ethereum, Binance y Polygon.
Los atacantes han robado con éxito varios tokens, incluidos MEE, ESNC, DON, ASW, KMON, POOLZ, con un valor total de aproximadamente 665,000 dólares. Actualmente, parte de los activos robados se ha intercambiado por BNB, pero aún no se han transferido fuera de la billetera del atacante.
Este ataque se aprovechó principalmente de una vulnerabilidad de desbordamiento aritmético en el contrato inteligente del proyecto Poolz. El atacante, al llamar a la función CreateMassPools, utilizó ingeniosamente el problema de desbordamiento de enteros en la función getArraySum. En concreto, el atacante construyó un arreglo especial que hacía que el resultado acumulado superara el valor máximo de uint256, lo que provocó que el valor de retorno de la función fuera 1.
Sin embargo, el contrato utilizó el valor de entrada original al registrar las propiedades del pool, en lugar de la cantidad real de tokens transferidos. Esto permitió que el atacante simplemente transfiriera 1 token y registrara un valor enorme en el sistema. Luego, el atacante retiró más tokens de los que realmente había depositado a través de la función withdraw, completando así el ataque.
Este evento destaca una vez más la importancia de la seguridad de los contratos inteligentes. Para evitar problemas similares, los desarrolladores deberían considerar el uso de versiones más recientes del compilador de Solidity, que incorporan funciones de verificación de desbordamiento. Para proyectos que utilizan versiones más antiguas de Solidity, se puede utilizar la biblioteca SafeMath proporcionada por OpenZeppelin para evitar el riesgo de desbordamiento de enteros.
Este ataque nos recuerda que incluso las operaciones matemáticas que parecen simples pueden acarrear graves riesgos de seguridad en un entorno de blockchain. Los desarrolladores del proyecto deben diseñar y auditar los contratos inteligentes con más cautela para asegurar la seguridad de los activos de los usuarios.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
11 me gusta
Recompensa
11
4
Compartir
Comentar
0/400
ForeverBuyingDips
· hace11h
Otra brecha de contratos inteligentes ha sido robada.
Ver originalesResponder0
NFTHoarder
· hace11h
¡Un día sin ver y ya hay un nuevo proyecto que ha sido aprovechado!
Ver originalesResponder0
OnchainSniper
· hace11h
Otra vez contratos inteligentes desnudos, es solo una tontería~
Poolz fue atacado por un Hacker, con pérdidas de 66.5 mil dólares en activos multichain.
El proyecto Poolz sufrió un ataque, con pérdidas de aproximadamente 66.5 mil dólares.
Recientemente, un ataque contra el proyecto multichain Poolz ha llamado la atención de la industria. Según los datos de monitoreo de blockchain, el ataque ocurrió el 15 de marzo de 2023, involucrando las cadenas Ethereum, Binance y Polygon.
Los atacantes han robado con éxito varios tokens, incluidos MEE, ESNC, DON, ASW, KMON, POOLZ, con un valor total de aproximadamente 665,000 dólares. Actualmente, parte de los activos robados se ha intercambiado por BNB, pero aún no se han transferido fuera de la billetera del atacante.
Este ataque se aprovechó principalmente de una vulnerabilidad de desbordamiento aritmético en el contrato inteligente del proyecto Poolz. El atacante, al llamar a la función CreateMassPools, utilizó ingeniosamente el problema de desbordamiento de enteros en la función getArraySum. En concreto, el atacante construyó un arreglo especial que hacía que el resultado acumulado superara el valor máximo de uint256, lo que provocó que el valor de retorno de la función fuera 1.
Sin embargo, el contrato utilizó el valor de entrada original al registrar las propiedades del pool, en lugar de la cantidad real de tokens transferidos. Esto permitió que el atacante simplemente transfiriera 1 token y registrara un valor enorme en el sistema. Luego, el atacante retiró más tokens de los que realmente había depositado a través de la función withdraw, completando así el ataque.
Este evento destaca una vez más la importancia de la seguridad de los contratos inteligentes. Para evitar problemas similares, los desarrolladores deberían considerar el uso de versiones más recientes del compilador de Solidity, que incorporan funciones de verificación de desbordamiento. Para proyectos que utilizan versiones más antiguas de Solidity, se puede utilizar la biblioteca SafeMath proporcionada por OpenZeppelin para evitar el riesgo de desbordamiento de enteros.
Este ataque nos recuerda que incluso las operaciones matemáticas que parecen simples pueden acarrear graves riesgos de seguridad en un entorno de blockchain. Los desarrolladores del proyecto deben diseñar y auditar los contratos inteligentes con más cautela para asegurar la seguridad de los activos de los usuarios.