Poolzプラットフォームが攻撃を受け、約66.5万ドルの損失

3月15日未明、イーサリアム、バイナンススマートチェーン、及びPolygonネットワーク上のPoolzプラットフォームがハッカーの攻撃を受けました。データプラットフォームの監視によると、この攻撃によりMEE、ESNC、DON、ASW、KMON、POOLZなどの複数のトークンが盗まれ、総価値は約66.5万ドルに上ります。

! Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました!

攻撃者はPoolzプラットフォームのスマートコントラクトにおける算術オーバーフローの脆弱性を利用しました。具体的には、問題はCreateMassPools関数内のgetArraySum関数にあります。この関数は、ユーザーがプールを一括で作成する際の初期流動性を計算する際に、大きな数の加算によるオーバーフローの可能性を正しく処理していませんでした。

! Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました!

攻撃プロセスは以下の通りです：

1. 攻撃者はまず、あるプラットフォームでいくつかのMNZトークンを交換しました。

2. その後、CreateMassPools関数を呼び出し、慎重に構築されたパラメータを渡して、getArraySum関数の戻り値がオーバーフローするようにしました。これにより、システムが記録した流動性の数が実際に転入したトークンの数を大幅に上回ることになりました。

3. 最後に、攻撃者はwithdraw関数を通じて実際に預けた量を大幅に超えるトークンを引き出し、攻撃を完了しました。

! Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました!

この事件は、スマートコントラクト開発において整数演算を正しく処理する重要性を再度浮き彫りにしました。同様の問題を防ぐために、開発者はオーバーフロー検査機能を内蔵した新しいバージョンのSolidityコンパイラの使用を検討すべきです。古いバージョンのSolidityを使用しているプロジェクトでは、整数オーバーフローのリスクを防ぐために、サードパーティのセキュリティライブラリを採用することができます。

現在、盗まれた資金はまだ完全に移転されておらず、一部はBNBに交換されています。関係者はさらなる調査と追跡を行っています。この事件は、DeFiプロジェクト側がスマートコントラクトの安全性をより重視し、定期的にコード監査を実施し、ユーザー資産を保護するために必要な安全対策を講じる必要があることを思い出させます。

! Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました!