Poolz mengalami insiden keamanan, sekitar 665.000 dolar AS aset terpengaruh

Belakangan ini, beberapa proyek Poolz di berbagai jaringan blockchain mengalami insiden keamanan, yang menyebabkan banyak token dicuri secara ilegal. Insiden ini terjadi sekitar pukul 3:16 dini hari UTC pada 15 Maret 2023, yang mempengaruhi beberapa jaringan seperti Ethereum, BNB Smart Chain, dan Polygon.

Menurut data on-chain, peristiwa ini melibatkan berbagai token, termasuk MEE, ESNC, DON, ASW, KMON, POOLZ, dll. Total nilai token yang diambil sekitar 665.000 dolar AS. Saat ini, sebagian dari token yang diambil telah ditukar menjadi BNB, tetapi belum dipindahkan ke alamat lain.

Analisis menunjukkan bahwa penyebab mendasar dari kejadian ini adalah adanya celah overflow aritmatika dalam kontrak pintar. Penyerang dengan cerdik memanfaatkan celah dalam fungsi CreateMassPools untuk melakukan operasi penarikan dana dalam jumlah besar dengan biaya rendah. Secara spesifik, penyerang saat membuat kolam likuiditas memanfaatkan masalah overflow bilangan bulat pada fungsi getArraySum, sehingga jumlah yang tercatat dalam sistem jauh melebihi jumlah yang sebenarnya disetor.

Proses peristiwa secara garis besar adalah sebagai berikut:

1. Penyerang pertama-tama menukarkan sejumlah kecil token MNZ melalui bursa terdesentralisasi.

2. Selanjutnya memanggil fungsi CreateMassPools, yang memungkinkan pengguna untuk membuat kumpulan likuiditas secara massal dan menyediakan likuiditas awal.

3. Saat membuat kolam, penyerang dengan cerdik menyusun parameter input sehingga nilai kembali dari fungsi getArraySum menjadi sangat kecil karena overflow, tetapi jumlah yang sebenarnya dicatat sebagai penyetoran adalah angka yang sangat besar.

4. Terakhir, penyerang menarik token yang jauh melebihi jumlah yang sebenarnya disetorkan melalui fungsi withdraw.

Untuk mencegah peristiwa serupa terjadi lagi, para ahli industri menyarankan para pengembang untuk mengambil langkah-langkah berikut:

1. Gunakan versi terbaru dari bahasa pemrograman Solidity, yang telah dilengkapi dengan mekanisme pemeriksaan overflow.

2. Untuk proyek yang menggunakan versi lama Solidity, Anda dapat mempertimbangkan untuk mengadopsi pustaka SafeMath dari OpenZeppelin untuk menangani operasi bilangan bulat, menghindari masalah overflow.

3. Memperkuat audit kode, terutama memperhatikan bagian yang mungkin menyebabkan overflow aritmatika.

4. Pertimbangkan untuk memperkenalkan mekanisme keamanan tambahan seperti tanda tangan multi untuk menambah lapisan perlindungan pada operasi penting.

Peristiwa ini kembali mengingatkan para pengembang proyek blockchain dan pengguna bahwa dalam ekosistem cryptocurrency yang berkembang pesat, keamanan selalu menjadi faktor utama yang perlu dipertimbangkan. Pihak proyek harus terus memperbaiki langkah-langkah keamanan, sementara pengguna juga harus tetap waspada dan berhati-hati dalam berpartisipasi dalam berbagai aktivitas DeFi.