Poolz a rencontré un incident de sécurité, environ 665 000 dollars d'actifs concernés

Récemment, plusieurs projets Poolz sur différents réseaux blockchain ont été victimes d'incidents de sécurité, entraînant le retrait illégal d'un grand nombre de tokens. L'incident s'est produit le 15 mars 2023 à environ 3h16 UTC, affectant plusieurs réseaux tels qu'Ethereum, BNB Smart Chain et Polygon.

Selon les données on-chain, cet événement implique plusieurs jetons, notamment MEE, ESNC, DON, ASW, KMON, POOLZ, etc. La valeur totale des jetons extraits est d'environ 665 000 dollars. Actuellement, certains des jetons extraits ont été échangés contre des BNB, mais n'ont pas encore été transférés vers d'autres adresses.

L'analyse montre que la cause fondamentale de cet incident est la présence d'une vulnérabilité de débordement arithmétique dans le contrat intelligent. L'attaquant a habilement exploité la vulnérabilité dans la fonction CreateMassPools pour réaliser des retraits massifs à faible coût. Plus précisément, lors de la création d'un pool de liquidités, l'attaquant a profité du problème de débordement d'entier dans la fonction getArraySum, ce qui a conduit à un montant déposé enregistré par le système bien supérieur au montant réellement déposé.

Le déroulement de l'événement est approximativement le suivant :

1. L'attaquant a d'abord échangé une petite quantité de jetons MNZ via une bourse décentralisée.

2. Ensuite, la fonction CreateMassPools a été appelée, permettant aux utilisateurs de créer des pools de liquidité en masse et de fournir une liquidité initiale.

3. Lors de la création du pool, l'attaquant a habilement construit les paramètres d'entrée, de sorte que la valeur de retour de la fonction getArraySum devienne très petite en raison d'un débordement, alors que le montant effectivement enregistré est un très grand nombre.

4. Enfin, l'attaquant a extrait des jetons bien supérieurs au montant réellement déposé via la fonction withdraw.

Pour éviter que des incidents similaires ne se reproduisent, les experts de l'industrie recommandent aux développeurs d'adopter les mesures suivantes :

1. Utilisez une version plus récente du langage de programmation Solidity, qui intègre un mécanisme de vérification des débordements.

2. Pour les projets utilisant une ancienne version de Solidity, il peut être envisagé d'intégrer la bibliothèque SafeMath d'OpenZeppelin pour gérer les opérations sur les entiers et éviter les problèmes de dépassement.

3. Renforcer l'audit de code, en prêtant une attention particulière aux parties susceptibles de provoquer un débordement arithmétique.

4. Envisager d'introduire des mécanismes de sécurité supplémentaires tels que la signature multiple pour ajouter une couche de protection aux opérations clés.

Cet événement rappelle à nouveau aux développeurs de projets blockchain et aux utilisateurs que, dans un écosystème de cryptomonnaies en rapide évolution, la sécurité doit toujours être une priorité. Les équipes de projet doivent continuellement améliorer les mesures de sécurité, et les utilisateurs doivent également rester vigilants et participer prudemment aux diverses activités DeFi.