- Rubrique
14k Popularité
44k Popularité
965 Popularité
13k Popularité
30k Popularité
808 Popularité
108k Popularité
25k Popularité
26k Popularité
7k Popularité
- Épingler
14k Popularité
44k Popularité
965 Popularité
13k Popularité
30k Popularité
808 Popularité
108k Popularité
25k Popularité
26k Popularité
7k Popularité
Poolz victime d'une attaque par débordement arithmétique, pertes de 665 K USD sur plusieurs chaînes.
Poolz subit une attaque par débordement arithmétique, perte d'environ 665K dollars
Récemment, plusieurs projets Poolz sur différents réseaux blockchain ont été victimes de piratages, entraînant le vol d'un grand nombre de jetons d'une valeur totale d'environ 665 000 dollars. L'attaque a eu lieu le 15 mars 2023, impliquant plusieurs réseaux tels qu'Ethereum, BNB Smart Chain et Polygon.
L'attaquant a exploité une vulnérabilité de débordement arithmétique dans le contrat Poolz. En manipulant habilement la fonction CreateMassPools, l'attaquant a pu créer des pools avec une liquidité initiale anormalement élevée, alors qu'il n'avait réellement besoin de transférer qu'une très petite quantité de jetons. Cette incohérence a finalement permis à l'attaquant d'extraire des jetons bien supérieurs à la quantité qu'il avait réellement déposée.
Plus précisément, l'attaquant a passé un tableau lors de l'appel de la fonction CreateMassPools, qui a entraîné un dépassement de uint256. Bien que le nombre de jetons réellement transférés soit faible, en raison du dépassement, le système a enregistré par erreur une valeur de liquidité initiale énorme. Ensuite, l'attaquant a retiré cette liquidité "fausse" par le biais de la fonction withdraw.
Le principal problème révélé par cet incident est le débordement d'entier. Pour éviter des vulnérabilités similaires, les développeurs devraient envisager d'utiliser une version plus récente du compilateur Solidity, qui effectue automatiquement des vérifications de débordement. Pour les projets utilisant des versions plus anciennes de Solidity, la bibliothèque SafeMath d'OpenZeppelin peut être utilisée pour prévenir les risques de débordement d'entier.
Cette attaque souligne à nouveau l'importance d'effectuer des audits de sécurité rigoureux dans le développement de contrats intelligents, en particulier lorsqu'il s'agit de fonctionnalités clés traitant des fonds des utilisateurs. Cela rappelle également aux équipes de projet et aux utilisateurs de rester toujours vigilants et de surveiller de près les menaces potentielles à la sécurité.