Platform Poolz diserang, mengalami kerugian sekitar 66,5 ribu dolar AS
Pada dini hari 15 Maret, platform Poolz di jaringan Ethereum, Binance Smart Chain, dan Polygon diserang oleh peretas. Menurut pemantauan dari platform data, serangan ini menyebabkan pencurian berbagai token, termasuk MEE, ESNC, DON, ASW, KMON, POOLZ, dengan total nilai sekitar 66,5 ribu dolar.
Penyerang memanfaatkan kerentanan overflow aritmetika dalam kontrak pintar di platform Poolz. Secara spesifik, masalahnya terletak pada fungsi getArraySum dalam fungsi CreateMassPools. Fungsi ini tidak menangani dengan benar kemungkinan overflow yang diakibatkan oleh penjumlahan angka besar saat menghitung likuiditas awal untuk pembuatan kolam secara massal oleh pengguna.
Proses serangan adalah sebagai berikut:
Penyerang pertama-tama menukarkan beberapa token MNZ di sebuah bursa terdesentralisasi.
Selanjutnya, fungsi CreateMassPools dipanggil dengan parameter yang telah disusun dengan hati-hati, sehingga nilai kembali dari fungsi getArraySum mengalami overflow. Ini mengakibatkan jumlah likuiditas yang tercatat di sistem jauh lebih besar daripada jumlah token yang sebenarnya ditransfer.
Akhirnya, penyerang menarik token yang jauh melebihi jumlah yang sebenarnya mereka simpan melalui fungsi withdraw, menyelesaikan serangan.
Kejadian ini sekali lagi menyoroti pentingnya menangani operasi integer dengan benar dalam pengembangan kontrak pintar. Untuk mencegah masalah serupa, pengembang harus mempertimbangkan untuk menggunakan versi terbaru dari kompilator Solidity yang sudah dilengkapi dengan mekanisme pemeriksaan overflow. Untuk proyek yang menggunakan versi Solidity yang lebih lama, dapat menggunakan pustaka keamanan pihak ketiga untuk mencegah risiko overflow integer.
Saat ini, dana yang dicuri belum sepenuhnya dipindahkan, sebagian telah ditukarkan menjadi BNB. Pihak terkait sedang melakukan penyelidikan dan pelacakan lebih lanjut. Peristiwa ini mengingatkan pihak proyek DeFi untuk lebih memperhatikan keamanan kontrak pintar, melakukan audit kode secara berkala, dan mengambil langkah-langkah keamanan yang diperlukan untuk melindungi aset pengguna.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
19 Suka
Hadiah
19
7
Bagikan
Komentar
0/400
ApeWithAPlan
· 07-24 16:17
Hati-hati dengan smart contract, banyak jebakan di sana.
Lihat AsliBalas0
BTCBeliefStation
· 07-23 08:49
Apakah kontraknya sudah diperiksa sebelum diluncurkan?
Lihat AsliBalas0
CryptoMotivator
· 07-23 08:48
Apakah audit kontrak ini masih bisa dihemat?
Lihat AsliBalas0
zkProofInThePudding
· 07-23 08:44
Sedikit menyedihkan
Lihat AsliBalas0
MEVVictimAlliance
· 07-23 08:38
Sudah dirugikan lagi oleh padi? Xiou'er
Lihat AsliBalas0
BearMarketMonk
· 07-23 08:38
Suckers kembali mengalami gelombang pembersihan. Siklus pasar tidak lebih dari ini.
Platform Poolz diserang Hacker, 665.000 dolar koin dicuri
Platform Poolz diserang, mengalami kerugian sekitar 66,5 ribu dolar AS
Pada dini hari 15 Maret, platform Poolz di jaringan Ethereum, Binance Smart Chain, dan Polygon diserang oleh peretas. Menurut pemantauan dari platform data, serangan ini menyebabkan pencurian berbagai token, termasuk MEE, ESNC, DON, ASW, KMON, POOLZ, dengan total nilai sekitar 66,5 ribu dolar.
Penyerang memanfaatkan kerentanan overflow aritmetika dalam kontrak pintar di platform Poolz. Secara spesifik, masalahnya terletak pada fungsi getArraySum dalam fungsi CreateMassPools. Fungsi ini tidak menangani dengan benar kemungkinan overflow yang diakibatkan oleh penjumlahan angka besar saat menghitung likuiditas awal untuk pembuatan kolam secara massal oleh pengguna.
Proses serangan adalah sebagai berikut:
Penyerang pertama-tama menukarkan beberapa token MNZ di sebuah bursa terdesentralisasi.
Selanjutnya, fungsi CreateMassPools dipanggil dengan parameter yang telah disusun dengan hati-hati, sehingga nilai kembali dari fungsi getArraySum mengalami overflow. Ini mengakibatkan jumlah likuiditas yang tercatat di sistem jauh lebih besar daripada jumlah token yang sebenarnya ditransfer.
Akhirnya, penyerang menarik token yang jauh melebihi jumlah yang sebenarnya mereka simpan melalui fungsi withdraw, menyelesaikan serangan.
Kejadian ini sekali lagi menyoroti pentingnya menangani operasi integer dengan benar dalam pengembangan kontrak pintar. Untuk mencegah masalah serupa, pengembang harus mempertimbangkan untuk menggunakan versi terbaru dari kompilator Solidity yang sudah dilengkapi dengan mekanisme pemeriksaan overflow. Untuk proyek yang menggunakan versi Solidity yang lebih lama, dapat menggunakan pustaka keamanan pihak ketiga untuk mencegah risiko overflow integer.
Saat ini, dana yang dicuri belum sepenuhnya dipindahkan, sebagian telah ditukarkan menjadi BNB. Pihak terkait sedang melakukan penyelidikan dan pelacakan lebih lanjut. Peristiwa ini mengingatkan pihak proyek DeFi untuk lebih memperhatikan keamanan kontrak pintar, melakukan audit kode secara berkala, dan mengambil langkah-langkah keamanan yang diperlukan untuk melindungi aset pengguna.