Poolz enfrenta un incidente de seguridad, aproximadamente 665,000 dólares en activos afectados

Recientemente, varios proyectos de Poolz en múltiples redes de blockchain han sufrido incidentes de seguridad, lo que ha llevado a la extracción ilegal de una gran cantidad de tokens. El evento ocurrió alrededor de las 3:16 a.m. UTC el 15 de marzo de 2023, afectando a múltiples redes como Ethereum, BNB Smart Chain y Polygon.

Según los datos en cadena, este evento involucra varios tokens, incluidos MEE, ESNC, DON, ASW, KMON, POOLZ, entre otros. El valor total de los tokens extraídos es de aproximadamente 665,000 dólares. Actualmente, algunos de los tokens extraídos ya han sido cambiados por BNB, pero aún no se han transferido a otras direcciones.

El análisis muestra que la causa raíz de este incidente es la existencia de una vulnerabilidad de desbordamiento aritmético en el contrato inteligente. Los atacantes aprovecharon ingeniosamente la vulnerabilidad en la función CreateMassPools para realizar operaciones de retiro de fondos a gran escala y bajo costo. En concreto, los atacantes, al crear el fondo de liquidez, aprovecharon el problema de desbordamiento de enteros en la función getArraySum, lo que hizo que la cantidad depositada registrada por el sistema fuera mucho mayor que la cantidad realmente depositada.

El proceso del evento es aproximadamente el siguiente:

1. El atacante primero intercambió una pequeña cantidad de tokens MNZ a través de un intercambio descentralizado.

2. Luego se llamó a la función CreateMassPools, que permite a los usuarios crear grupos de liquidez en masa y proporcionar liquidez inicial.

3. Al crear el grupo, el atacante construyó hábilmente los parámetros de entrada, de modo que el valor de retorno de la función getArraySum se volviera muy pequeño debido a un desbordamiento, pero la cantidad realmente registrada como depositada era un valor muy grande.

4. Por último, el atacante extrajo a través de la función withdraw una cantidad de tokens muy superior a la realmente depositada.

Para prevenir que eventos similares ocurran nuevamente, los expertos de la industria sugieren que los desarrolladores tomen las siguientes medidas:

1. Utiliza versiones más recientes del lenguaje de programación Solidity, que incluyen un mecanismo de verificación de desbordamiento.

2. Para los proyectos que utilizan versiones antiguas de Solidity, se puede considerar la incorporación de la biblioteca SafeMath de OpenZeppelin para manejar operaciones enteras y evitar problemas de desbordamiento.

3. Fortalecer la auditoría del código, prestando especial atención a las partes que pueden causar desbordamientos aritméticos.

4. Considerar la introducción de mecanismos de seguridad adicionales como la firma múltiple para añadir una capa de protección a las operaciones clave.

Este evento recuerda una vez más a los desarrolladores de proyectos de blockchain y a los usuarios que, en el ecosistema de criptomonedas de rápido desarrollo, la seguridad siempre es la principal consideración. Los equipos del proyecto deben seguir mejorando las medidas de seguridad, y los usuarios también deben mantenerse alerta y participar con precaución en diversas actividades de DeFi.