Poolz遭遇算數溢出攻擊，損失達66.5萬美元

3月15日凌晨，Poolz在以太坊、幣安智能鏈和Polygon網路上遭受攻擊，導致多種代幣被盜，總價值約66.5萬美元。攻擊者利用智能合約中的算數溢出漏洞，成功獲取了大量代幣。

攻擊者通過調用CreateMassPools函數來批量創建流動性池。該函數存在關鍵漏洞，允許攻擊者通過精心構造的參數繞過正常的流動性檢查。具體而言，攻擊者利用了getArraySum函數中的整數溢出問題。

在攻擊過程中，黑客首先在某去中心化交易所兌換了少量MNZ代幣。隨後，他們調用了存在漏洞的CreateMassPools函數。該函數本應用於批量創建流動性池並提供初始流動性，但由於getArraySum函數的缺陷，攻擊者得以注入遠超實際轉入量的虛假流動性。

getArraySum函數在累加傳入的_StartAmount數組時，由於溢出問題，最終返回值變爲1。然而，CreatePool函數仍然使用原始的_StartAmount值進行記錄。這導致攻擊者僅轉入1個代幣，就能在系統中記錄大量虛假流動性。

完成這一步驟後，攻擊者簡單地調用withdraw函數提取代幣，從而完成了整個攻擊過程。

此次事件再次凸顯了智能合約中算術操作的安全重要性。爲防止類似問題，開發者應考慮使用較新版本的Solidity編譯器，這些版本能在編譯階段自動進行溢出檢查。對於使用舊版Solidity的項目，建議集成OpenZeppelin的SafeMath庫來處理整數溢出問題。

這一攻擊事件提醒我們，在區塊鏈生態系統中，即使是看似微小的代碼漏洞也可能導致嚴重的經濟損失。因此，徹底的代碼審計和持續的安全更新對於保護用戶資產至關重要。