- Rubrique
2k Popularité
87k Popularité
13k Popularité
5k Popularité
30k Popularité
16k Popularité
23k Popularité
13k Popularité
3k Popularité
13k Popularité
- Épingler
2k Popularité
87k Popularité
13k Popularité
5k Popularité
30k Popularité
16k Popularité
23k Popularité
13k Popularité
3k Popularité
13k Popularité
Poolz subit une attaque par débordement arithmétique, entraînant une perte de 665 000 dollars.
Poolz subit une attaque par dépassement arithmétique, avec une perte d'environ 66,5 milliers de dollars.
Récemment, le projet Poolz sur Ethereum, Binance Smart Chain et le réseau Polygon a été attaqué, entraînant le vol de plusieurs tokens d'une valeur totale d'environ 665 000 dollars. L'attaque a eu lieu le 15 mars 2023 vers 3h16 UTC.
Selon les données on-chain, cette attaque implique plusieurs jetons, notamment MEE, ESNC, DON, ASW, KMON, POOLZ, etc. Les attaquants ont échangé une partie des jetons volés contre des BNB, mais ces fonds n'ont pas encore été transférés.
L'attaque a principalement exploité une vulnérabilité de débordement arithmétique dans le contrat Poolz. Plus précisément, le problème réside dans la fonction getArraySum de la fonction CreateMassPools. Cette fonction, lors du calcul de la liquidité initiale lors de la création en masse de pools par les utilisateurs, a conduit à un débordement d'entier en raison d'une mauvaise gestion des grandes valeurs.
L'attaquant utilise des paramètres d'entrée soigneusement construits pour amener la fonction getArraySum à retourner la valeur 1, alors que la valeur réelle de _StartAmount est un très grand nombre. Ainsi, l'attaquant n'a besoin de transférer qu'un seul jeton pour enregistrer une grande quantité de liquidité initiale dans le système. Par la suite, l'attaquant appelle la fonction withdraw pour extraire cette liquidité "fausse", complétant ainsi l'attaque.
Pour éviter que de tels problèmes ne se reproduisent, les experts recommandent aux développeurs d'utiliser une version plus récente du compilateur Solidity, car les nouvelles versions effectuent automatiquement des vérifications de débordement. Pour les projets utilisant une version inférieure de Solidity, il est possible de considérer l'intégration de la bibliothèque SafeMath d'OpenZeppelin pour gérer les opérations entières, afin d'éviter les risques de débordement.
Cet événement nous rappelle une fois de plus qu'il est crucial de traiter la sécurité des opérations arithmétiques dans le développement de contrats intelligents. Les développeurs doivent rester vigilants face aux problèmes de débordement d'entier potentiels et prendre des mesures appropriées pour protéger la sécurité du contrat.