# Poolzが算術オーバーフローの脆弱性攻撃に遭い、近67万ドルの損失最近、マルチチェーンのPoolzプロジェクトに対する攻撃事件が業界の広範な関心を引き起こしました。オンチェーン監視データによると、攻撃は2023年3月15日に発生し、Ethereum、BNB Chain、Polygonなどの複数のパブリックチェーンが関与しています。今回の攻撃により、多くのトークンが盗まれました。これには、MEE、ESNC、DON、ASW、KMON、POOLZなどのプロジェクトのトークンが含まれています。初期の推定では、盗まれた資産の総価値は約665,000ドルです。現在、一部の盗まれたトークンは攻撃者によってBNBに交換されていますが、まだ攻撃者が管理するアドレスからは移動されていません。! [Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました! ](https://img-cdn.gateio.im/social/moments-974bc1b1f017458e935bb53bf55cef3e)分析によると、今回の攻撃は主にPoolzプロジェクトのスマートコントラクトにおける算術オーバーフローの脆弱性を利用しています。攻撃者は巧妙に構成された入力パラメータを使用して、流動性プールを一括で作成する際に整数オーバーフローを引き起こし、極少量のトークンで大量の流動性を得ることを実現しました。具体的には、攻撃者はまずある分散型取引所で少量のMNZトークンを交換しました。その後、攻撃者はPoolz契約内のCreateMassPools関数を呼び出しました。この関数は、ユーザーが流動性プールを一括で作成し、初期流動性を提供することを許可します。問題はgetArraySum関数にあり、この関数はユーザーが提供した初期流動性の総量を計算するために使用されます。! [Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました! ](https://img-cdn.gateio.im/social/moments-7726863222e36bd3db4e3408503ba81c)攻撃者は、超大数値の配列を入力パラメータとして巧妙に構築しました。これらの数値を加算すると、整数オーバーフローが発生し、実際に転送されたトークンの数量と記録された数量に巨大な差異が生じました。最終的に、攻撃者は1つのトークンしか転送しませんでしたが、契約内には巨大な流動性数値が記録されていました。上記の操作を完了した後、攻撃者はすぐにwithdraw関数を呼び出して資金を引き出し、攻撃プロセス全体を簡単に完了しました。! [Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました! ](https://img-cdn.gateio.im/social/moments-207e83ef73f5ece4adee71f4f42674f3)この事件は再びスマートコントラクトにおける算術オーバーフローの問題の危険性を浮き彫りにしました。同様のリスクを防ぐために、業界の専門家は開発者に新しいバージョンのSolidityプログラミング言語を使用することを推奨しています。これらのバージョンはコンパイル時に自動的にオーバーフローのチェックを行います。古いバージョンのSolidityを使用しているプロジェクトには、OpenZeppelinなどの成熟したセキュリティライブラリを導入することを検討できます。この出来事は、ブロックチェーンエコシステムにおいて契約の安全が常に無視できない重要な問題であることを私たちに思い出させます。プロジェクト側はコード監査とセキュリティテストを継続的に強化する必要があり、ユーザーは新しいプロジェクトに参加する際にも警戒を怠らず、関連するリスクを慎重に評価すべきです。! [Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました! ](https://img-cdn.gateio.im/social/moments-915eae1e1853f3d04d16dbac2b8c504a)
Poolzが算術オーバーフロー攻撃を受け、多くのチェーンで約67万ドルの損失を被る
Poolzが算術オーバーフローの脆弱性攻撃に遭い、近67万ドルの損失
最近、マルチチェーンのPoolzプロジェクトに対する攻撃事件が業界の広範な関心を引き起こしました。オンチェーン監視データによると、攻撃は2023年3月15日に発生し、Ethereum、BNB Chain、Polygonなどの複数のパブリックチェーンが関与しています。
今回の攻撃により、多くのトークンが盗まれました。これには、MEE、ESNC、DON、ASW、KMON、POOLZなどのプロジェクトのトークンが含まれています。初期の推定では、盗まれた資産の総価値は約665,000ドルです。現在、一部の盗まれたトークンは攻撃者によってBNBに交換されていますが、まだ攻撃者が管理するアドレスからは移動されていません。
! Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました!
分析によると、今回の攻撃は主にPoolzプロジェクトのスマートコントラクトにおける算術オーバーフローの脆弱性を利用しています。攻撃者は巧妙に構成された入力パラメータを使用して、流動性プールを一括で作成する際に整数オーバーフローを引き起こし、極少量のトークンで大量の流動性を得ることを実現しました。
具体的には、攻撃者はまずある分散型取引所で少量のMNZトークンを交換しました。その後、攻撃者はPoolz契約内のCreateMassPools関数を呼び出しました。この関数は、ユーザーが流動性プールを一括で作成し、初期流動性を提供することを許可します。問題はgetArraySum関数にあり、この関数はユーザーが提供した初期流動性の総量を計算するために使用されます。
! Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました!
攻撃者は、超大数値の配列を入力パラメータとして巧妙に構築しました。これらの数値を加算すると、整数オーバーフローが発生し、実際に転送されたトークンの数量と記録された数量に巨大な差異が生じました。最終的に、攻撃者は1つのトークンしか転送しませんでしたが、契約内には巨大な流動性数値が記録されていました。
上記の操作を完了した後、攻撃者はすぐにwithdraw関数を呼び出して資金を引き出し、攻撃プロセス全体を簡単に完了しました。
! Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました!
この事件は再びスマートコントラクトにおける算術オーバーフローの問題の危険性を浮き彫りにしました。同様のリスクを防ぐために、業界の専門家は開発者に新しいバージョンのSolidityプログラミング言語を使用することを推奨しています。これらのバージョンはコンパイル時に自動的にオーバーフローのチェックを行います。古いバージョンのSolidityを使用しているプロジェクトには、OpenZeppelinなどの成熟したセキュリティライブラリを導入することを検討できます。
この出来事は、ブロックチェーンエコシステムにおいて契約の安全が常に無視できない重要な問題であることを私たちに思い出させます。プロジェクト側はコード監査とセキュリティテストを継続的に強化する必要があり、ユーザーは新しいプロジェクトに参加する際にも警戒を怠らず、関連するリスクを慎重に評価すべきです。
! Poolzは算術オーバーフローの問題で攻撃を受け、約665,000ドルを失いました!