Poolz遭受算術溢出攻擊，損失約66.5萬美元

近日，多個區塊鏈網路上的Poolz項目遭受攻擊，導致大量代幣被盜，總價值約66.5萬美元。這次攻擊發生在2023年3月15日，影響了以太坊、BNB鏈和Polygon等多個網路上的Poolz合約。

攻擊者利用了Poolz智能合約中的一個算術溢出漏洞。具體來說，問題出在CreateMassPools函數中的getArraySum函數。該函數在計算池子初始流動性時，由於整數溢出，導致攻擊者只需轉入極少量代幣就能創建大量流動性的假象。

攻擊過程如下：

1. 攻擊者首先在某DEX上兌換了少量MNZ代幣。

2. 隨後調用了有漏洞的CreateMassPools函數。該函數允許用戶批量創建流動性池並提供初始流動性。

3. 在計算初始流動性金額時，getArraySum函數出現整數溢出。攻擊者傳入的數組之和超過了uint256能表示的最大值，導致函數返回值變爲1。

4. 然而，合約在記錄池子屬性時仍使用了原始的_StartAmount數組值。這造成了攻擊者實際只轉入1個代幣，卻被記錄爲擁有巨額流動性的情況。

5. 最後，攻擊者調用withdraw函數提取資金，完成了攻擊。

此次事件暴露了智能合約中算術溢出的危險性。爲防止類似問題，開發者應考慮使用較新版本的Solidity編譯器，它們會自動進行溢出檢查。對於使用較舊版本Solidity的項目，可以採用OpenZeppelin的SafeMath庫來處理整數運算，以避免溢出風險。

這次攻擊再次強調了在開發和審計智能合約時，需要特別注意算術操作的安全性。同時，項目方也應定期進行安全審計，及時發現並修復潛在的漏洞，以保護用戶資產的安全。