Poolz subit une attaque par débordement arithmétique, perte d'environ 66,5 000 dollars.
Récemment, plusieurs projets Poolz sur différents réseaux blockchain ont été attaqués, entraînant le vol de nombreux jetons d'une valeur totale d'environ 66,5 millions de dollars. Cette attaque a eu lieu le 15 mars 2023 et a affecté les contrats Poolz sur plusieurs réseaux, y compris Ethereum, la chaîne BNB et Polygon.
Un attaquant a exploité une vulnérabilité de débordement arithmétique dans le contrat intelligent Poolz. Plus précisément, le problème se situe dans la fonction getArraySum de la fonction CreateMassPools. Cette fonction, lors du calcul de la liquidité initiale des pools, provoque un débordement d'entier, permettant à l'attaquant de créer une fausse impression de liquidité en transférant seulement une très petite quantité de jetons.
Le processus d'attaque est le suivant :
L'attaquant a d'abord échangé une petite quantité de jetons MNZ sur un certain DEX.
Ensuite, la fonction CreateMassPools vulnérable a été appelée. Cette fonction permet aux utilisateurs de créer des pools de liquidité en masse et de fournir une liquidité initiale.
Lors du calcul du montant initial de liquidité, la fonction getArraySum a rencontré un débordement d'entier. La somme du tableau fournie par l'attaquant dépasse la valeur maximale pouvant être représentée par uint256, ce qui entraîne un retour de valeur de la fonction égal à 1.
Cependant, le contrat a toujours utilisé la valeur du tableau _StartAmount d'origine lors de l'enregistrement des attributs du pool. Cela a conduit à une situation où l'attaquant n'a réellement transféré qu'un seul jeton, mais a été enregistré comme ayant une énorme liquidité.
Enfin, l'attaquant appelle la fonction withdraw pour retirer des fonds, complétant ainsi l'attaque.
Cet incident a révélé le danger des débordements arithmétiques dans les contrats intelligents. Pour éviter de tels problèmes, les développeurs devraient envisager d'utiliser des versions plus récentes du compilateur Solidity, qui effectuent automatiquement des vérifications de débordement. Pour les projets utilisant des versions plus anciennes de Solidity, il est possible d'utiliser la bibliothèque SafeMath d'OpenZeppelin pour gérer les opérations sur les entiers afin d'éviter les risques de débordement.
Cette attaque souligne à nouveau la nécessité de prêter une attention particulière à la sécurité des opérations arithmétiques lors du développement et de l'audit des contrats intelligents. De plus, les équipes de projet devraient effectuer régulièrement des audits de sécurité pour détecter et corriger rapidement les vulnérabilités potentielles afin de protéger la sécurité des actifs des utilisateurs.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
17 J'aime
Récompense
17
6
Partager
Commentaire
0/400
OnChainDetective
· Il y a 17h
j'ai repéré ce schéma d'attaque auparavant... erreur d'overflow d'entier de débutant. quand les développeurs apprendront-ils à utiliser safeMath smh
Voir l'originalRépondre0
AirdropGrandpa
· Il y a 17h
Encore un débordement de pile, vraiment nul.
Voir l'originalRépondre0
CryptoSurvivor
· Il y a 17h
De si petites failles peuvent être découvertes, c'est vraiment pitoyable.
Voir l'originalRépondre0
FrogInTheWell
· Il y a 17h
Encore un débordement... vous comprenez l'audit de sécurité ?
Voir l'originalRépondre0
AlwaysAnon
· Il y a 17h
Un autre projet a échoué.
Voir l'originalRépondre0
HodlTheDoor
· Il y a 18h
Encore une fois, ils ferment avant d'avoir suffisamment profité des services gratuits.
Poolz subit une attaque par débordement arithmétique, entraînant une perte de 665 000 $. Plusieurs projets multichaînes sont touchés.
Poolz subit une attaque par débordement arithmétique, perte d'environ 66,5 000 dollars.
Récemment, plusieurs projets Poolz sur différents réseaux blockchain ont été attaqués, entraînant le vol de nombreux jetons d'une valeur totale d'environ 66,5 millions de dollars. Cette attaque a eu lieu le 15 mars 2023 et a affecté les contrats Poolz sur plusieurs réseaux, y compris Ethereum, la chaîne BNB et Polygon.
Un attaquant a exploité une vulnérabilité de débordement arithmétique dans le contrat intelligent Poolz. Plus précisément, le problème se situe dans la fonction getArraySum de la fonction CreateMassPools. Cette fonction, lors du calcul de la liquidité initiale des pools, provoque un débordement d'entier, permettant à l'attaquant de créer une fausse impression de liquidité en transférant seulement une très petite quantité de jetons.
Le processus d'attaque est le suivant :
L'attaquant a d'abord échangé une petite quantité de jetons MNZ sur un certain DEX.
Ensuite, la fonction CreateMassPools vulnérable a été appelée. Cette fonction permet aux utilisateurs de créer des pools de liquidité en masse et de fournir une liquidité initiale.
Lors du calcul du montant initial de liquidité, la fonction getArraySum a rencontré un débordement d'entier. La somme du tableau fournie par l'attaquant dépasse la valeur maximale pouvant être représentée par uint256, ce qui entraîne un retour de valeur de la fonction égal à 1.
Cependant, le contrat a toujours utilisé la valeur du tableau _StartAmount d'origine lors de l'enregistrement des attributs du pool. Cela a conduit à une situation où l'attaquant n'a réellement transféré qu'un seul jeton, mais a été enregistré comme ayant une énorme liquidité.
Enfin, l'attaquant appelle la fonction withdraw pour retirer des fonds, complétant ainsi l'attaque.
Cet incident a révélé le danger des débordements arithmétiques dans les contrats intelligents. Pour éviter de tels problèmes, les développeurs devraient envisager d'utiliser des versions plus récentes du compilateur Solidity, qui effectuent automatiquement des vérifications de débordement. Pour les projets utilisant des versions plus anciennes de Solidity, il est possible d'utiliser la bibliothèque SafeMath d'OpenZeppelin pour gérer les opérations sur les entiers afin d'éviter les risques de débordement.
Cette attaque souligne à nouveau la nécessité de prêter une attention particulière à la sécurité des opérations arithmétiques lors du développement et de l'audit des contrats intelligents. De plus, les équipes de projet devraient effectuer régulièrement des audits de sécurité pour détecter et corriger rapidement les vulnérabilités potentielles afin de protéger la sécurité des actifs des utilisateurs.