Poolz遭受算數溢出攻擊，損失約66.5萬美元

近日，Ethereum、Binance和Polygon網路上的Poolz項目遭到黑客攻擊，造成重大損失。據鏈上數據顯示，攻擊發生於2023年3月15日，涉及多種代幣，總價值約66.5萬美元。

攻擊者利用Poolz合約中的算數溢出漏洞實施了這次攻擊。主要問題出現在CreateMassPools函數中，該函數允許用戶批量創建流動性池並提供初始流動性。攻擊者通過精心構造的輸入參數，使getArraySum函數產生溢出，從而在僅轉入1個代幣的情況下，在系統中記錄了一個巨大的數值。

攻擊流程如下：

1. 攻擊者首先通過去中心化交易所兌換了一些MNZ代幣。

2. 隨後調用CreateMassPools函數，利用其中的getArraySum函數漏洞。該函數在累加用戶輸入的_StartAmount數組時，由於溢出返回了1，而實際記錄的數值卻是一個遠大於此的數字。

3. 最後，攻擊者通過調用withdraw函數提取資金，完成了整個攻擊過程。

這次事件再次凸顯了智能合約中算數溢出問題的嚴重性。爲防止類似問題，開發者應考慮使用較新版本的Solidity編譯器，它們會在編譯過程中自動進行溢出檢查。對於使用較早版本Solidity的項目，可以採用第三方安全庫來解決整數溢出問題。

此次攻擊也提醒我們，在處理涉及大量計算的智能合約時，必須格外謹慎，確保所有可能的邊界情況都得到妥善處理。同時，定期進行安全審計和漏洞賞金計劃也是保障項目安全的有效措施。