Poolz遭受算數溢出攻擊，損失約665K美元

近日，一起針對Poolz平台的攻擊事件引起了加密貨幣社區的廣泛關注。攻擊者利用智能合約中的算數溢出漏洞，成功從Ethereum、BNB Chain和Polygon等多個網路上竊取了價值約66.5萬美元的加密資產。

據鏈上數據顯示，此次攻擊發生於2023年3月15日，涉及多種代幣，包括MEE、ESNC、DON、ASW、KMON、POOLZ等。攻擊者通過巧妙操作，exploited了Poolz平台的CreateMassPools函數中的一個漏洞。

攻擊的核心問題出在getArraySum函數上。該函數本應用於計算用戶批量創建池子時的初始流動性，但由於整數溢出，導致攻擊者只需轉入極少量代幣就能創建擁有大量虛假流動性的池子。隨後，攻擊者通過withdraw函數提取了這些被錯誤記錄的代幣數量。

技術分析顯示，攻擊者首先通過某去中心化交易所兌換了少量MNZ代幣。然後，他們調用了存在漏洞的CreateMassPools函數，傳入精心構造的參數使得_StartAmount數組在累加時超過uint256的最大值，導致溢出。這使得系統誤以爲攻擊者提供了大量流動性，而實際上只轉入了1個代幣。

爲防止此類問題再次發生，業內專家建議開發者使用較新版本的Solidity編程語言，這些版本在編譯過程中會自動進行溢出檢查。對於使用舊版Solidity的項目，建議引入OpenZeppelin的SafeMath庫來處理整數運算，從而避免溢出風險。

此事件再次凸顯了智能合約安全審計的重要性。隨着去中心化金融（DeFi）生態系統的不斷發展，項目方需要更加重視代碼安全，定期進行安全檢查，並及時修復潛在漏洞，以保護用戶資產安全。