Poolz遭遇算術溢出攻擊，損失約66.5萬美元

近日，多個區塊鏈網路上的Poolz項目遭到黑客攻擊，導致大量代幣被盜，總價值約66.5萬美元。這次攻擊主要發生在以太坊、BNB Chain和Polygon等鏈上。

攻擊者利用了Poolz智能合約中的一個算術溢出漏洞。具體來說，問題出在CreateMassPools函數中的getArraySum函數。該函數通過遍歷_StartAmount數組進行累加，但未對溢出進行適當處理。攻擊者巧妙地構造了一個包含極大數值的數組，導致累加結果超出uint256範圍，最終返回值變爲1。

攻擊過程如下：

1. 攻擊者首先在某DEX上兌換了一些MNZ代幣。

2. 隨後調用CreateMassPools函數，傳入精心設計的參數。雖然實際只轉入1個代幣，但_StartAmount記錄的是一個巨大的數值。

3. 最後通過withdraw函數提取資金，完成攻擊。

這次事件涉及多種代幣，包括MEE、ESNC、DON、ASW、KMON、POOLZ等。其中損失最大的是ASW代幣，超過20億枚。

爲防止此類問題再次發生，建議開發者使用較新版本的Solidity編譯器，其內置了溢出檢查功能。對於使用較早版本Solidity的項目，可以考慮引入OpenZeppelin的SafeMath庫來處理整數溢出問題。

這次攻擊再次提醒了DeFi項目在智能合約安全性方面的重要性。即使是看似簡單的算術操作，如果處理不當，也可能導致嚴重的安全漏洞。項目方應當更加重視代碼審計，並採取必要的安全措施來保護用戶資產。