- Topik
2393 Popularitas
40 Popularitas
4761 Popularitas
142592 Popularitas
1832321 Popularitas
62184 Popularitas
111605 Popularitas
450115 Popularitas
7206086 Popularitas
10721150 Popularitas
- Sematkan
2393 Popularitas
40 Popularitas
4761 Popularitas
142592 Popularitas
1832321 Popularitas
62184 Popularitas
111605 Popularitas
450115 Popularitas
7206086 Popularitas
10721150 Popularitas
Vulnerabilitas kontrak pintar Poolz diserang, kerugian aset multi-rantai mencapai 66,5 ribu dolar AS
Poolz Mengalami Serangan Kerentanan Overflow Aritmatika, Kerugian Sekitar 66,5 Ribu Dolar AS
Baru-baru ini, beberapa proyek Poolz di jaringan blockchain telah menjadi sasaran serangan hacker, menyebabkan banyak token dicuri dengan total nilai sekitar 66,5 ribu dolar AS. Serangan ini terjadi pada 15 Maret 2023, melibatkan beberapa jaringan seperti Ethereum, BNB Chain, dan Polygon.
Penyerang memanfaatkan kerentanan overflow aritmatika dalam kontrak pintar Poolz. Secara spesifik, masalah terletak pada fungsi getArraySum dalam fungsi CreateMassPools. Fungsi ini tidak menangani overflow integer dengan benar saat menghitung jumlah token, memungkinkan penyerang untuk mendapatkan sejumlah besar token dengan biaya yang sangat rendah.
Proses serangan secara umum adalah sebagai berikut:
Penyerang pertama-tama menukar sejumlah kecil token MNZ di suatu bursa terdesentralisasi.
Kemudian panggil fungsi CreateMassPools, dengan parameter yang disusun dengan cermat, untuk memicu overflow integer.
Karena overflow, sistem secara keliru mencatat jumlah token yang sangat besar, padahal yang sebenarnya ditransfer hanya 1 token.
Terakhir, penyerang memanggil fungsi withdraw untuk menarik token dan menyelesaikan serangan.
Kejadian ini sekali lagi menyoroti bahaya dari kerentanan overflow integer dalam kontrak pintar. Untuk mencegah masalah serupa, pengembang harus menggunakan versi terbaru dari kompiler Solidity, yang secara otomatis melakukan pemeriksaan overflow. Untuk proyek yang menggunakan versi Solidity yang lebih lama, disarankan untuk memperkenalkan pustaka SafeMath dari OpenZeppelin untuk menangani operasi integer.
Serangan ini menyebabkan kerugian berbagai token, termasuk MEE, ESNC, DON, ASW, KMON, POOLZ, dan lain-lain. Saat ini, sebagian dana yang dicuri telah ditukarkan oleh pelaku ke BNB, tetapi belum dipindahkan dari alamat pelaku.
Peristiwa ini mengingatkan kita bahwa bahkan operasi matematika yang tampak sederhana dapat memicu masalah keamanan yang serius dalam kontrak pintar. Pihak proyek perlu lebih memperhatikan audit kode dan mengambil langkah-langkah keamanan yang diperlukan untuk melindungi aset pengguna.