Poolz遭遇算术溢出攻击，损失约66.5万美元

近日，多个区块链网络上的Poolz项目遭到黑客攻击，导致大量代币被盗，总价值约66.5万美元。这次攻击主要发生在以太坊、BNB Chain和Polygon等链上。

攻击者利用了Poolz智能合约中的一个算术溢出漏洞。具体来说，问题出在CreateMassPools函数中的getArraySum函数。该函数通过遍历_StartAmount数组进行累加，但未对溢出进行适当处理。攻击者巧妙地构造了一个包含极大数值的数组，导致累加结果超出uint256范围，最终返回值变为1。

攻击过程如下：

1. 攻击者首先在某DEX上兑换了一些MNZ代币。

2. 随后调用CreateMassPools函数，传入精心设计的参数。虽然实际只转入1个代币，但_StartAmount记录的是一个巨大的数值。

3. 最后通过withdraw函数提取资金，完成攻击。

这次事件涉及多种代币，包括MEE、ESNC、DON、ASW、KMON、POOLZ等。其中损失最大的是ASW代币，超过20亿枚。

为防止此类问题再次发生，建议开发者使用较新版本的Solidity编译器，其内置了溢出检查功能。对于使用较早版本Solidity的项目，可以考虑引入OpenZeppelin的SafeMath库来处理整数溢出问题。

这次攻击再次提醒了DeFi项目在智能合约安全性方面的重要性。即使是看似简单的算术操作，如果处理不当，也可能导致严重的安全漏洞。项目方应当更加重视代码审计，并采取必要的安全措施来保护用户资产。