Poolz зазнав атаки, в результаті якої втратили близько 665 тисяч доларів, ймовірно, через проблему арифметичного переповнення

Нещодавно кілька проектів Poolz на різних блокчейн-мережах стали жертвами хакерських атак, внаслідок яких було вкрадено велику кількість токенів, а загальні збитки оцінюються приблизно в 665 тисяч доларів США. Згідно з даними на блокчейні, ця атака сталася 15 березня 2023 року і торкнулася кількох мереж, включаючи Ethereum, BNB Chain та Polygon.

Зловмисники скористалися вразливістю переповнення арифметичних даних у контракті Poolz. Зокрема, проблема виникає у функції масового створення пулів. Ця функція дозволяє користувачам створювати кілька ліквідних пулів і надавати початкову ліквідність, але при розрахунку загальної ліквідності існує ризик переповнення цілих чисел.

Зловмисники шляхом ретельно складених параметрів змусили обчислення ліквідності перевищити межі, в результаті чого фактична кількість токенів, що надходять, виявилася значно меншою за зафіксовану. Після цього зловмисники можуть витягувати кількість токенів, що перевищує їх фактичний внесок, таким чином отримуючи прибуток.

Цього разу вкрадені токени включають MEE, ESNC, DON, ASW, KMON, POOLZ та інші. Наразі частина вкрадених коштів вже була обміняна на BNB, але ще не була переведена на інші адреси.

Щоб запобігти повторенню таких проблем, розробники повинні використовувати новіші версії компілятора Solidity, які автоматично виконують перевірку на переповнення. Для проектів, які використовують старі версії Solidity, можна розглянути можливість впровадження бібліотеки SafeMath від OpenZeppelin для обробки цілочисельних операцій, щоб уникнути ризику переповнення.

Ця подія ще раз підкреслила важливість безпеки смарт-контрактів, особливо при обробці математичних операцій, коли потрібно бути особливо обережним. Проектні команди повинні регулярно проводити аудит безпеки та своєчасно виправляти потенційні вразливості для захисту активів користувачів.