🎉 攢成長值,抽華爲Mate三折疊!廣場第 1️⃣ 2️⃣ 期夏季成長值抽獎大狂歡開啓!
總獎池超 $10,000+,華爲Mate三折疊手機、F1紅牛賽車模型、Gate限量週邊、熱門代幣等你來抽!
立即抽獎 👉 https://www.gate.com/activities/pointprize?now_period=12
如何快速賺成長值?
1️⃣ 進入【廣場】,點擊頭像旁標識進入【社區中心】
2️⃣ 完成發帖、評論、點讚、發言等日常任務,成長值拿不停
100%有獎,抽到賺到,大獎等你抱走,趕緊試試手氣!
截止於 8月9日 24:00 (UTC+8)
詳情: https://www.gate.com/announcements/article/46384
#成长值抽奖12期开启#
Poolz遭算術溢出攻擊 多鏈損失近67萬美元
Poolz遭遇算術溢出漏洞攻擊,損失近67萬美元
近日,一起針對多鏈上Poolz項目的攻擊事件引起了業內廣泛關注。根據鏈上監控數據顯示,攻擊發生於2023年3月15日,涉及Ethereum、BNB Chain和Polygon等多條公鏈。
此次攻擊導致大量代幣被盜,包括MEE、ESNC、DON、ASW、KMON、POOLZ等多個項目的代幣。初步估算,被盜資產總價值約爲665,000美元。目前,部分被盜代幣已被攻擊者兌換成BNB,但尚未轉移出攻擊者控制的地址。
分析顯示,此次攻擊主要利用了Poolz項目智能合約中的算術溢出漏洞。攻擊者通過巧妙構造的輸入參數,在批量創建流動性池時觸發了整數溢出,從而實現了以極少量代幣獲取大量流動性的目的。
具體來說,攻擊者首先在某去中心化交易所兌換了少量MNZ代幣。隨後,攻擊者調用了Poolz合約中的CreateMassPools函數,該函數允許用戶批量創建流動性池並提供初始流動性。問題出在getArraySum函數中,該函數用於計算用戶提供的初始流動性總量。
攻擊者精心構造了一個包含超大數值的數組作爲輸入參數。當這些數值相加時,發生了整數溢出,導致實際轉入的代幣數量與記錄的數量產生巨大差異。最終,攻擊者僅轉入1個代幣,卻在合約中記錄了一個巨大的流動性數值。
完成上述操作後,攻擊者立即調用withdraw函數提取資金,輕鬆完成了整個攻擊過程。
此次事件再次凸顯了智能合約中算術溢出問題的危險性。爲防範類似風險,業內專家建議開發者使用較新版本的Solidity編程語言,這些版本在編譯過程中會自動進行溢出檢查。對於使用較早版本Solidity的項目,可以考慮引入OpenZeppelin等成熟的安全庫來解決整數溢出問題。
這一事件提醒我們,在區塊鏈生態系統中,合約安全始終是一個不容忽視的關鍵問題。項目方需要不斷加強代碼審計和安全測試,而用戶在參與新項目時也應保持警惕,謹慎評估相關風險。