O projeto Poolz foi atacado, resultando em perdas de aproximadamente 66,5 mil dólares.
Recentemente, um ataque ao projeto multichain Poolz chamou a atenção do setor. De acordo com os dados de monitoramento da blockchain, o ataque ocorreu em 15 de março de 2023, envolvendo as três cadeias Ethereum, Binance e Polygon.
Os atacantes conseguiram roubar vários tokens, incluindo MEE, ESNC, DON, ASW, KMON, POOLZ, entre outros, totalizando um valor aproximado de 665 mil dólares. Atualmente, parte dos ativos roubados já foi trocada por BNB, mas ainda não foram transferidos da carteira dos atacantes.
O ataque desta vez explorou uma vulnerabilidade de estouro aritmético no contrato inteligente do projeto Poolz. O atacante, ao chamar a função CreateMassPools, aproveitou habilidosamente o problema de estouro de inteiros na função getArraySum. Especificamente, o atacante construiu um array especial que fez com que o resultado da soma excedesse o valor máximo de uint256, levando o valor de retorno da função a ser 1.
No entanto, o contrato usou o valor de entrada original ao registrar os atributos do pool, em vez da quantidade real de tokens transferidos. Isso permitiu que o atacante transferisse apenas 1 token e registrasse um valor enorme no sistema. Em seguida, o atacante extraiu tokens muito além da quantidade realmente depositada através da função withdraw, completando assim o ataque.
Este evento destaca novamente a importância da segurança dos contratos inteligentes. Para evitar problemas semelhantes, os desenvolvedores devem considerar o uso de versões mais recentes do compilador Solidity, que possuem recursos de verificação de estouro integrados. Para projetos que utilizam versões mais antigas do Solidity, pode-se usar a biblioteca SafeMath da OpenZeppelin para evitar o risco de estouro de inteiros.
Este ataque nos lembra que, mesmo operações matemáticas que parecem simples, podem trazer sérias vulnerabilidades de segurança em um ambiente de blockchain. As equipes de projeto precisam ser mais cautelosas ao projetar e auditar contratos inteligentes, para garantir a segurança dos ativos dos usuários.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
11 Curtidas
Recompensa
11
4
Compartilhar
Comentário
0/400
ForeverBuyingDips
· 11h atrás
Mais uma falha de contrato inteligente foi explorada.
Ver originalResponder0
NFTHoarder
· 11h atrás
Um dia sem ver e já há um projeto a ser explorado!
Ver originalResponder0
OnchainSniper
· 11h atrás
Outra vez contratos inteligentes nus, é só uma coisinha~
Poolz foi atacada por hackers, com uma perda de ativos de múltiplas cadeias de 66,5 mil dólares.
O projeto Poolz foi atacado, resultando em perdas de aproximadamente 66,5 mil dólares.
Recentemente, um ataque ao projeto multichain Poolz chamou a atenção do setor. De acordo com os dados de monitoramento da blockchain, o ataque ocorreu em 15 de março de 2023, envolvendo as três cadeias Ethereum, Binance e Polygon.
Os atacantes conseguiram roubar vários tokens, incluindo MEE, ESNC, DON, ASW, KMON, POOLZ, entre outros, totalizando um valor aproximado de 665 mil dólares. Atualmente, parte dos ativos roubados já foi trocada por BNB, mas ainda não foram transferidos da carteira dos atacantes.
O ataque desta vez explorou uma vulnerabilidade de estouro aritmético no contrato inteligente do projeto Poolz. O atacante, ao chamar a função CreateMassPools, aproveitou habilidosamente o problema de estouro de inteiros na função getArraySum. Especificamente, o atacante construiu um array especial que fez com que o resultado da soma excedesse o valor máximo de uint256, levando o valor de retorno da função a ser 1.
No entanto, o contrato usou o valor de entrada original ao registrar os atributos do pool, em vez da quantidade real de tokens transferidos. Isso permitiu que o atacante transferisse apenas 1 token e registrasse um valor enorme no sistema. Em seguida, o atacante extraiu tokens muito além da quantidade realmente depositada através da função withdraw, completando assim o ataque.
Este evento destaca novamente a importância da segurança dos contratos inteligentes. Para evitar problemas semelhantes, os desenvolvedores devem considerar o uso de versões mais recentes do compilador Solidity, que possuem recursos de verificação de estouro integrados. Para projetos que utilizam versões mais antigas do Solidity, pode-se usar a biblioteca SafeMath da OpenZeppelin para evitar o risco de estouro de inteiros.
Este ataque nos lembra que, mesmo operações matemáticas que parecem simples, podem trazer sérias vulnerabilidades de segurança em um ambiente de blockchain. As equipes de projeto precisam ser mais cautelosas ao projetar e auditar contratos inteligentes, para garantir a segurança dos ativos dos usuários.