Poolz diserang, kerugian sekitar 66,5 ribu dolar AS
Baru-baru ini, platform Poolz mengalami insiden keamanan yang serius, menyebabkan kerugian sekitar 66,5 ribu dolar AS. Serangan ini melibatkan beberapa blockchain, termasuk Ethereum, BNB Smart Chain, dan Polygon.
Penyerang memanfaatkan celah overflow aritmatika dalam kontrak Poolz. Secara spesifik, masalah ini muncul di fungsi getArraySum dalam fungsi CreateMassPools. Fungsi ini gagal menangani angka besar dengan benar saat menghitung jumlah token, yang menyebabkan overflow, memungkinkan penyerang untuk memperoleh sejumlah besar token dengan biaya yang sangat rendah.
Proses serangan secara umum adalah sebagai berikut:
Penyerang pertama-tama menukarkan sejumlah kecil token MNZ di DEX tertentu.
Selanjutnya memanggil fungsi CreateMassPools yang memiliki celah. Fungsi ini seharusnya memungkinkan pengguna untuk membuat kolam likuiditas secara massal dan menyediakan likuiditas awal.
Dengan parameter yang dirancang dengan cermat, penyerang memicu overflow integer dalam fungsi getArraySum. Ini membuat sistem salah mengira bahwa penyerang telah menyediakan sejumlah besar token, padahal sebenarnya hanya mentransfer jumlah yang sangat sedikit.
Akhirnya, penyerang menarik token yang bukan miliknya melalui fungsi withdraw, menyelesaikan serangan.
Peristiwa ini melibatkan berbagai token, termasuk MEE, ESNC, DON, ASW, KMON, POOLZ, dan lainnya. Penyerang telah menukarkan sebagian keuntungan menjadi BNB, tetapi hingga laporan ini dibuat, mereka belum menarik dana tersebut.
Untuk mencegah masalah serupa, para ahli keamanan menyarankan pengembang untuk menggunakan versi terbaru dari bahasa pemrograman Solidity, yang secara otomatis melakukan pemeriksaan overflow saat kompilasi. Untuk proyek yang menggunakan versi lama Solidity, dapat dipertimbangkan untuk menggunakan pustaka SafeMath dari OpenZeppelin untuk mencegah overflow integer.
Peristiwa ini sekali lagi menekankan pentingnya melakukan audit keamanan yang ketat dalam pengembangan kontrak pintar, terutama saat menangani fungsi yang melibatkan banyak perhitungan. Ini juga mengingatkan investor dan pengguna untuk berhati-hati terhadap proyek DeFi yang muncul dan selalu memperhatikan kondisi keamanan proyek.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
13 Suka
Hadiah
13
6
Posting ulang
Bagikan
Komentar
0/400
ser_we_are_ngmi
· 5jam yang lalu
Ini adalah kerentanan overflow lagi, turun terus menerus ah
Lihat AsliBalas0
BlockchainThinkTank
· 5jam yang lalu
Berdasarkan pengalaman, kerentanan overflow semacam ini merupakan masalah tingkat dasar bagi tim pengembang, disarankan untuk menjauh dari proyek semacam ini.
Lihat AsliBalas0
NFTRegretDiary
· 5jam yang lalu
Sekali lagi, ada celah overflow, pemula smart contract keluar dari dunia ini.
Lihat AsliBalas0
MEVHunterBearish
· 5jam yang lalu
Sekali lagi dicuri.
Lihat AsliBalas0
MeltdownSurvivalist
· 5jam yang lalu
Hacker lagi-lagi mendapatkan uang
Lihat AsliBalas0
MevHunter
· 5jam yang lalu
Kode tidak pernah berbohong, koin ini sudah pasti mati.
Poolz diserang Hacker, kerugian multi-chain mencapai 66,5 ribu dolar AS
Poolz diserang, kerugian sekitar 66,5 ribu dolar AS
Baru-baru ini, platform Poolz mengalami insiden keamanan yang serius, menyebabkan kerugian sekitar 66,5 ribu dolar AS. Serangan ini melibatkan beberapa blockchain, termasuk Ethereum, BNB Smart Chain, dan Polygon.
Penyerang memanfaatkan celah overflow aritmatika dalam kontrak Poolz. Secara spesifik, masalah ini muncul di fungsi getArraySum dalam fungsi CreateMassPools. Fungsi ini gagal menangani angka besar dengan benar saat menghitung jumlah token, yang menyebabkan overflow, memungkinkan penyerang untuk memperoleh sejumlah besar token dengan biaya yang sangat rendah.
Proses serangan secara umum adalah sebagai berikut:
Penyerang pertama-tama menukarkan sejumlah kecil token MNZ di DEX tertentu.
Selanjutnya memanggil fungsi CreateMassPools yang memiliki celah. Fungsi ini seharusnya memungkinkan pengguna untuk membuat kolam likuiditas secara massal dan menyediakan likuiditas awal.
Dengan parameter yang dirancang dengan cermat, penyerang memicu overflow integer dalam fungsi getArraySum. Ini membuat sistem salah mengira bahwa penyerang telah menyediakan sejumlah besar token, padahal sebenarnya hanya mentransfer jumlah yang sangat sedikit.
Akhirnya, penyerang menarik token yang bukan miliknya melalui fungsi withdraw, menyelesaikan serangan.
Peristiwa ini melibatkan berbagai token, termasuk MEE, ESNC, DON, ASW, KMON, POOLZ, dan lainnya. Penyerang telah menukarkan sebagian keuntungan menjadi BNB, tetapi hingga laporan ini dibuat, mereka belum menarik dana tersebut.
Untuk mencegah masalah serupa, para ahli keamanan menyarankan pengembang untuk menggunakan versi terbaru dari bahasa pemrograman Solidity, yang secara otomatis melakukan pemeriksaan overflow saat kompilasi. Untuk proyek yang menggunakan versi lama Solidity, dapat dipertimbangkan untuk menggunakan pustaka SafeMath dari OpenZeppelin untuk mencegah overflow integer.
Peristiwa ini sekali lagi menekankan pentingnya melakukan audit keamanan yang ketat dalam pengembangan kontrak pintar, terutama saat menangani fungsi yang melibatkan banyak perhitungan. Ini juga mengingatkan investor dan pengguna untuk berhati-hati terhadap proyek DeFi yang muncul dan selalu memperhatikan kondisi keamanan proyek.