Poolz столкнулся с инцидентом безопасности, примерно 665000 долларов США активов были затронуты

Недавно несколько проектов Poolz на различных блокчейн-сетях столкнулись с инцидентами безопасности, что привело к незаконному извлечению большого количества токенов. Инцидент произошел около 3:16 по всемирному координированному времени 15 марта 2023 года и затронул несколько сетей, включая Ethereum, BNB Smart Chain и Polygon.

Согласно данным блокчейна, в данном событии участвуют различные токены, включая MEE, ESNC, DON, ASW, KMON, POOLZ и другие. Общая стоимость извлеченных токенов составляет около 665 000 долларов США. В настоящее время часть извлеченных токенов была обменена на BNB, но еще не переведена на другие адреса.

Анализ показывает, что основной причиной этого инцидента является наличие уязвимости переполнения арифметики в смарт-контракте. Злоумышленник, искусно воспользовавшись уязвимостью в функции CreateMassPools, осуществил операцию вывода средств в больших объемах с низкими затратами. Конкретно, злоумышленник при создании ликвидного пула использовал проблему переполнения целого числа в функции getArraySum, что привело к тому, что система зафиксировала сумму депозита, значительно превышающую фактически внесенную сумму.

Процесс события примерно следующий:

1. Нападающий сначала обменял небольшое количество токенов MNZ на децентрализованной бирже.

2. Затем был вызван функция CreateMassPools, которая позволяет пользователям массово создавать пулы ликвидности и предоставлять начальную ликвидность.

3. При создании пула злоумышленник искусно сконструировал входные параметры, так что функция getArraySum возвращает очень маленькое значение из-за переполнения, в то время как фактически зафиксированная сумма депозита является очень большим числом.

4. В конечном итоге злоумышленник извлек токены, значительно превышающие фактическую сумму, внесенную через функцию withdraw.

Чтобы предотвратить повторение подобных инцидентов, эксперты в отрасли рекомендуют разработчикам принять следующие меры:

1. Используйте более новую версию языка программирования Solidity, в которых встроены механизмы проверки переполнения.

2. Для проектов, использующих старую версию Solidity, можно рассмотреть возможность внедрения библиотеки SafeMath от OpenZeppelin для обработки целочисленных операций, чтобы избежать проблем с переполнением.

3. Укрепить аудит кода, особенно обращая внимание на части, которые могут привести к арифметическому переполнению.

4. Рассмотрите возможность внедрения дополнительных механизмов безопасности, таких как мультиподпись, для добавления уровня защиты к критическим операциям.

Это событие еще раз напоминает разработчикам блокчейн-проектов и пользователям, что в быстро развивающейся экосистеме криптовалют безопасность всегда является первоочередным фактором. Проектам следует постоянно улучшать меры безопасности, а пользователям необходимо сохранять бдительность и осторожно участвовать в различных DeFi-активностях.