- Tema
51k Popularidad
21k Popularidad
63k Popularidad
31k Popularidad
4k Popularidad
98k Popularidad
29k Popularidad
28k Popularidad
7k Popularidad
18k Popularidad
- Anclado
51k Popularidad
21k Popularidad
63k Popularidad
31k Popularidad
4k Popularidad
98k Popularidad
29k Popularidad
28k Popularidad
7k Popularidad
18k Popularidad
Poolz sufre un ataque de desbordamiento aritmético con pérdidas de 665,000 dólares.
Poolz sufre un ataque de desbordamiento aritmético, con pérdidas de aproximadamente 66.5 mil dólares
Recientemente, los proyectos Poolz en Ethereum, Binance Smart Chain y la red Polygon sufrieron un ataque que resultó en el robo de varios tokens, con un valor total de aproximadamente 665,000 dólares. El ataque ocurrió alrededor de las 3:16 a.m. UTC del 15 de marzo de 2023.
Según los datos en cadena, este ataque implicó múltiples tokens, incluidos MEE, ESNC, DON, ASW, KMON, POOLZ, entre otros. Los atacantes han intercambiado parte de los tokens robados por BNB, pero hasta el momento estos fondos no se han transferido.
El ataque se aprovechó principalmente de una vulnerabilidad de desbordamiento aritmético en el contrato de Poolz. Específicamente, el problema radica en la función getArraySum dentro de la función CreateMassPools. Esta función, al calcular la liquidez inicial de los usuarios al crear múltiples pools, presenta un desbordamiento de enteros debido a que no maneja correctamente los valores grandes.
El atacante, mediante parámetros de entrada cuidadosamente elaborados, logra que la función getArraySum devuelva un valor de 1, mientras que el _StartAmount registrado es un número muy grande. De esta manera, el atacante solo necesita transferir 1 token para registrar una gran cantidad de liquidez inicial en el sistema. Posteriormente, el atacante llama a la función withdraw para retirar esta liquidez "falsa", completando así el ataque.
Para prevenir que este tipo de problemas ocurran nuevamente, los expertos sugieren que los desarrolladores utilicen versiones más recientes del compilador Solidity, ya que las nuevas versiones realizan automáticamente comprobaciones de desbordamiento. Para los proyectos que utilizan versiones anteriores de Solidity, se puede considerar la incorporación de la biblioteca SafeMath de OpenZeppelin para manejar las operaciones enteras y evitar riesgos de desbordamiento.
Este evento nos recuerda una vez más que el tratamiento de la seguridad en las operaciones aritméticas es crucial en el desarrollo de contratos inteligentes. Los desarrolladores deben estar siempre atentos a los posibles problemas de desbordamiento de enteros y tomar las medidas adecuadas para proteger la seguridad del contrato.