Poolz protokol mengalami serangan overflow aritmatika, kehilangan sekitar 66.5 ribu dolar AS
Baru-baru ini, sebuah insiden serangan terhadap protokol Poolz menarik perhatian industri. Menurut data on-chain, serangan terjadi pada 15 Maret 2023, melibatkan beberapa jaringan seperti Ethereum, BNB Chain, dan Polygon. Penyerang berhasil mencuri sejumlah besar token dengan memanfaatkan kerentanan overflow aritmatika dalam kontrak pintar, dengan total nilai sekitar 66,5 ribu dolar AS.
Penyerang terutama menargetkan fungsi CreateMassPools dari protokol Poolz. Fungsi ini awalnya digunakan untuk memungkinkan pengguna membuat kumpulan likuiditas secara massal dan menyediakan likuiditas awal. Namun, karena masalah overflow aritmatika pada fungsi getArraySum, penyerang dapat memanfaatkan celah ini.
Secara khusus, penyerang dengan mengirimkan array _StartAmount tertentu, menyebabkan hasil akumulasi melebihi nilai maksimum uint256, yang mengakibatkan overflow dan mengembalikan nilai 1. Ini memungkinkan penyerang untuk hanya mentransfer 1 token, tetapi mencatat setoran besar yang jauh lebih besar dari jumlah sebenarnya dalam sistem. Selanjutnya, penyerang dapat menarik token yang tidak ada ini melalui fungsi withdraw.
Kejadian ini melibatkan berbagai token, termasuk MEE, ESNC, DON, ASW, KMON, POOLZ, dan lainnya. Penyerang telah menukarkan sebagian token yang didapat menjadi BNB, tetapi hingga saat laporan dibuat, dana tersebut belum dipindahkan dari alamat penyerang.
Untuk mencegah masalah serupa terjadi lagi, para ahli industri menyarankan para pengembang untuk mengambil langkah-langkah berikut:
Gunakan versi terbaru dari compiler Solidity, yang secara otomatis akan melakukan pemeriksaan overflow selama proses kompilasi.
Untuk proyek yang menggunakan versi Solidity yang lebih rendah, Anda dapat mempertimbangkan untuk mengimpor pustaka SafeMath dari OpenZeppelin untuk mengatasi masalah overflow integer.
Perkuat audit kode, dengan perhatian khusus pada fungsi dan operasi yang mungkin menyebabkan overflow aritmatika.
Melakukan evaluasi keamanan dan pemindaian kerentanan secara berkala, serta segera memperbaiki masalah yang ditemukan.
Peristiwa ini mengingatkan kembali para pengembang proyek blockchain dan pengguna bahwa dalam ekosistem cryptocurrency yang berkembang pesat, keamanan selalu menjadi faktor utama yang perlu dipertimbangkan. Bagi investor, juga harus selalu waspada dan memperhatikan keamanan serta kekuatan teknis proyek.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
8 Suka
Hadiah
8
2
Bagikan
Komentar
0/400
MetaNomad
· 13jam yang lalu
Banyak sekali celah, sudah hampir tidak bisa diaudit lagi.
Lihat AsliBalas0
GasWaster
· 13jam yang lalu
66 ribu juga berani keluar jadi hacker? Pemula hacker
Poolz protokol mengalami serangan overflow aritmatika dengan kerugian sebesar 66,5 ribu dolar AS
Poolz protokol mengalami serangan overflow aritmatika, kehilangan sekitar 66.5 ribu dolar AS
Baru-baru ini, sebuah insiden serangan terhadap protokol Poolz menarik perhatian industri. Menurut data on-chain, serangan terjadi pada 15 Maret 2023, melibatkan beberapa jaringan seperti Ethereum, BNB Chain, dan Polygon. Penyerang berhasil mencuri sejumlah besar token dengan memanfaatkan kerentanan overflow aritmatika dalam kontrak pintar, dengan total nilai sekitar 66,5 ribu dolar AS.
Penyerang terutama menargetkan fungsi CreateMassPools dari protokol Poolz. Fungsi ini awalnya digunakan untuk memungkinkan pengguna membuat kumpulan likuiditas secara massal dan menyediakan likuiditas awal. Namun, karena masalah overflow aritmatika pada fungsi getArraySum, penyerang dapat memanfaatkan celah ini.
Secara khusus, penyerang dengan mengirimkan array _StartAmount tertentu, menyebabkan hasil akumulasi melebihi nilai maksimum uint256, yang mengakibatkan overflow dan mengembalikan nilai 1. Ini memungkinkan penyerang untuk hanya mentransfer 1 token, tetapi mencatat setoran besar yang jauh lebih besar dari jumlah sebenarnya dalam sistem. Selanjutnya, penyerang dapat menarik token yang tidak ada ini melalui fungsi withdraw.
Kejadian ini melibatkan berbagai token, termasuk MEE, ESNC, DON, ASW, KMON, POOLZ, dan lainnya. Penyerang telah menukarkan sebagian token yang didapat menjadi BNB, tetapi hingga saat laporan dibuat, dana tersebut belum dipindahkan dari alamat penyerang.
Untuk mencegah masalah serupa terjadi lagi, para ahli industri menyarankan para pengembang untuk mengambil langkah-langkah berikut:
Gunakan versi terbaru dari compiler Solidity, yang secara otomatis akan melakukan pemeriksaan overflow selama proses kompilasi.
Untuk proyek yang menggunakan versi Solidity yang lebih rendah, Anda dapat mempertimbangkan untuk mengimpor pustaka SafeMath dari OpenZeppelin untuk mengatasi masalah overflow integer.
Perkuat audit kode, dengan perhatian khusus pada fungsi dan operasi yang mungkin menyebabkan overflow aritmatika.
Melakukan evaluasi keamanan dan pemindaian kerentanan secara berkala, serta segera memperbaiki masalah yang ditemukan.
Peristiwa ini mengingatkan kembali para pengembang proyek blockchain dan pengguna bahwa dalam ekosistem cryptocurrency yang berkembang pesat, keamanan selalu menjadi faktor utama yang perlu dipertimbangkan. Bagi investor, juga harus selalu waspada dan memperhatikan keamanan serta kekuatan teknis proyek.