Poolz mengalami serangan yang menyebabkan kerugian sekitar 66,5 ribu dolar AS
Baru-baru ini, sebuah insiden serangan terhadap Poolz menarik perhatian luas dari komunitas cryptocurrency. Menurut data on-chain, serangan terjadi pada 15 Maret 2023, yang melibatkan beberapa jaringan seperti Ethereum, BNB Chain, dan Polygon. Penyerang memanfaatkan kerentanan overflow aritmatika dalam kontrak pintar, berhasil mencuri sejumlah besar token dengan total nilai mendekati $66,5 ribu.
Serangan ini melibatkan berbagai token, termasuk MEE, ESNC, DON, ASW, KMON, POOLZ, dan lainnya. Sebagian token yang diperoleh penyerang telah ditukarkan menjadi BNB, tetapi hingga saat ini, dana tersebut belum dipindahkan.
Proses serangan terutama dibagi menjadi tiga langkah:
Penyerang pertama-tama menukarkan sejumlah token MNZ melalui bursa terdesentralisasi tertentu.
Selanjutnya, penyerang memanggil fungsi CreateMassPools. Fungsi ini seharusnya memungkinkan pengguna untuk membuat kumpulan likuiditas secara massal dan menyediakan likuiditas awal. Namun, karena masalah overflow aritmatika pada fungsi getArraySum, penyerang dapat memanfaatkan celah ini. Secara khusus, array _StartAmount yang dimasukkan oleh penyerang berisi nilai yang melebihi batas uint256, menyebabkan hasil penjumlahan overflow dan akhirnya mengembalikan nilai 1. Ini memungkinkan penyerang hanya perlu mentransfer 1 token, dan dapat mencatat likuiditas yang jauh melebihi jumlah sebenarnya dalam sistem.
Akhirnya, penyerang menggunakan fungsi withdraw untuk menarik token, menyelesaikan seluruh proses serangan.
Kejadian ini sekali lagi menyoroti pentingnya keamanan kontrak pintar, terutama dalam melakukan perhitungan angka besar dengan hati-hati. Untuk mencegah masalah serupa, pengembang harus mempertimbangkan untuk menggunakan versi terbaru dari bahasa pemrograman Solidity, yang secara otomatis melakukan pemeriksaan overflow selama proses kompilasi. Untuk proyek yang menggunakan versi Solidity yang lebih lama, disarankan untuk menggunakan pustaka SafeMath yang disediakan oleh OpenZeppelin untuk mencegah masalah overflow integer.
Insiden serangan ini mengingatkan kita bahwa dalam bidang blockchain yang berkembang pesat, keamanan selalu menjadi faktor utama yang harus dipertimbangkan. Pihak proyek perlu terus meninjau dan memperbarui langkah-langkah keamanan mereka, sementara pengguna juga harus tetap waspada dan berhati-hati dalam berpartisipasi dalam berbagai aktivitas DeFi.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
15 Suka
Hadiah
15
3
Bagikan
Komentar
0/400
Degentleman
· 18jam yang lalu
Satu lagi smart contract meluap, tsk tsk.
Lihat AsliBalas0
MevTears
· 23jam yang lalu
又被Kupon Klip了
Lihat AsliBalas0
BearMarketSurvivor
· 23jam yang lalu
Tutorial Pemula Membuat Kematian dengan Beragam Cara Pelajaran Pertama
Poolz mengalami serangan overflow aritmatika dengan kerugian sebesar 66.5 ribu dolar AS
Poolz mengalami serangan yang menyebabkan kerugian sekitar 66,5 ribu dolar AS
Baru-baru ini, sebuah insiden serangan terhadap Poolz menarik perhatian luas dari komunitas cryptocurrency. Menurut data on-chain, serangan terjadi pada 15 Maret 2023, yang melibatkan beberapa jaringan seperti Ethereum, BNB Chain, dan Polygon. Penyerang memanfaatkan kerentanan overflow aritmatika dalam kontrak pintar, berhasil mencuri sejumlah besar token dengan total nilai mendekati $66,5 ribu.
Serangan ini melibatkan berbagai token, termasuk MEE, ESNC, DON, ASW, KMON, POOLZ, dan lainnya. Sebagian token yang diperoleh penyerang telah ditukarkan menjadi BNB, tetapi hingga saat ini, dana tersebut belum dipindahkan.
Proses serangan terutama dibagi menjadi tiga langkah:
Penyerang pertama-tama menukarkan sejumlah token MNZ melalui bursa terdesentralisasi tertentu.
Selanjutnya, penyerang memanggil fungsi CreateMassPools. Fungsi ini seharusnya memungkinkan pengguna untuk membuat kumpulan likuiditas secara massal dan menyediakan likuiditas awal. Namun, karena masalah overflow aritmatika pada fungsi getArraySum, penyerang dapat memanfaatkan celah ini. Secara khusus, array _StartAmount yang dimasukkan oleh penyerang berisi nilai yang melebihi batas uint256, menyebabkan hasil penjumlahan overflow dan akhirnya mengembalikan nilai 1. Ini memungkinkan penyerang hanya perlu mentransfer 1 token, dan dapat mencatat likuiditas yang jauh melebihi jumlah sebenarnya dalam sistem.
Kejadian ini sekali lagi menyoroti pentingnya keamanan kontrak pintar, terutama dalam melakukan perhitungan angka besar dengan hati-hati. Untuk mencegah masalah serupa, pengembang harus mempertimbangkan untuk menggunakan versi terbaru dari bahasa pemrograman Solidity, yang secara otomatis melakukan pemeriksaan overflow selama proses kompilasi. Untuk proyek yang menggunakan versi Solidity yang lebih lama, disarankan untuk menggunakan pustaka SafeMath yang disediakan oleh OpenZeppelin untuk mencegah masalah overflow integer.
Insiden serangan ini mengingatkan kita bahwa dalam bidang blockchain yang berkembang pesat, keamanan selalu menjadi faktor utama yang harus dipertimbangkan. Pihak proyek perlu terus meninjau dan memperbarui langkah-langkah keamanan mereka, sementara pengguna juga harus tetap waspada dan berhati-hati dalam berpartisipasi dalam berbagai aktivitas DeFi.