Poolz bị tấn công bởi Hacker, thiệt hại khoảng 66.5 triệu đô la

Gần đây, nhiều dự án Poolz trên các mạng blockchain đã bị Hacker tấn công, gây thiệt hại khoảng 665.000 USD. Theo dữ liệu trên chuỗi, cuộc tấn công này xảy ra vào ngày 15 tháng 3 năm 2023, liên quan đến nhiều mạng như Ethereum, BNB Chain và Polygon.

Kẻ tấn công đã lợi dụng một lỗ hổng tràn số học trong hợp đồng Poolz. Cụ thể, vấn đề nằm ở hàm getArraySum trong hàm CreateMassPools. Hàm này trong quá trình tính toán số lượng token, do tràn số nguyên dẫn đến số lượng token thực sự chuyển vào không khớp với số lượng đã ghi nhận, từ đó kẻ tấn công thu được lợi nhuận.

Trong cuộc tấn công này, nhiều loại token đã bị đánh cắp, bao gồm MEE, ESNC, DON, ASW, KMON, POOLZ, v.v. Kẻ tấn công đã đổi một phần lợi nhuận thành BNB, nhưng hiện tại số tiền chưa được chuyển đi.

Để ngăn chặn các vấn đề tương tự xảy ra lần nữa, khuyên các nhà phát triển nên sử dụng phiên bản biên dịch Solidity mới hơn, vì những phiên bản này sẽ tự động kiểm tra tràn số. Đối với các dự án sử dụng phiên bản Solidity thấp hơn, có thể xem xét việc sử dụng thư viện SafeMath của OpenZeppelin để giải quyết vấn đề tràn số nguyên.

Sự kiện này một lần nữa nhắc nhở chúng ta rằng, an ninh là cực kỳ quan trọng trong phát triển hợp đồng thông minh. Các nhà phát triển cần phải luôn cảnh giác với những lỗ hổng có thể xảy ra và thực hiện các biện pháp an ninh cần thiết để bảo vệ tài sản của người dùng. Đồng thời, các bên dự án cũng nên tiến hành kiểm toán an ninh định kỳ để phát hiện và khắc phục kịp thời các rủi ro an ninh tiềm ẩn.