Poolz зазнав безпекового інциденту, близько 665 тисяч доларів активів були під впливом

Нещодавно кілька проектів Poolz на різних блокчейн-мережах зазнали безпекових інцидентів, що призвело до незаконного вилучення великої кількості токенів. Інцидент стався близько 3:16 ранку за всесвітнім координованим часом 15 березня 2023 року, вплинувши на кілька мереж, таких як Ethereum, BNB Smart Chain та Polygon.

Згідно з даними з блокчейну, ця подія стосується кількох токенів, включаючи MEE, ESNC, DON, ASW, KMON, POOLZ тощо. Загальна вартість вилучених токенів становить близько 665 тисяч доларів США. На даний момент частина вилучених токенів була обміняна на BNB, але ще не була переведена на інші адреси.

Аналіз показує, що корінна причина цього інциденту полягає в наявності вразливості переповнення арифметики в смарт-контракті. Зловмисник, хитро використовуючи вразливість у функції CreateMassPools, здійснив операцію з виведення великої кількості коштів за низькою ціною. Конкретно, зловмисник, створюючи ліквідний пул, скористався проблемою переповнення цілого числа у функції getArraySum, в результаті чого сума, яку система зафіксувала як депозит, значно перевищила фактичну суму внеску.

Події відбувалися приблизно так:

1. Зловмисник спочатку обміняв невелику кількість токенів MNZ через децентралізовану біржу.

2. Потім було викликано функцію CreateMassPools, яка дозволяє користувачам масово створювати ліквідні пулі та надавати початкову ліквідність.

3. Під час створення пулу зловмисник майстерно сконструював вхідні параметри таким чином, що функція getArraySum повертає значення, яке через переповнення стає дуже маленьким, але насправді зафіксована сума внесків є дуже великою.

4. Нарешті, зловмисник витягнув токени, що значно перевищують фактичну суму, внесену через функцію withdraw.

Щоб запобігти повторенню подібних інцидентів, експерти галузі рекомендують розробникам вжити такі заходи:

1. Використовуйте новішу версію мови програмування Solidity, яка має вбудований механізм перевірки переповнення.

2. Для проектів, які використовують стару версію Solidity, можна розглянути можливість впровадження бібліотеки SafeMath від OpenZeppelin для обробки цілочисельних обчислень, щоб уникнути проблем з переповненням.

3. Посилити аудит коду, особливо звертаючи увагу на частини, які можуть призвести до арифметичного переповнення.

4. Розгляньте можливість впровадження багатопідпису та інших додаткових механізмів безпеки для підвищення захисту ключових операцій.

Ця подія знову нагадує розробникам блокчейн-проєктів і користувачам, що в швидко розвиваючійся екосистемі криптовалют безпека завжди є першочерговим фактором. Проєктні команди повинні постійно вдосконалювати заходи безпеки, а користувачі також повинні залишатися пильними і обережно брати участь у різних DeFi-активностях.