Poolz遭受算数溢出攻击，损失约66.5万美元

近日，Ethereum、Binance和Polygon网络上的Poolz项目遭到黑客攻击，造成重大损失。据链上数据显示，攻击发生于2023年3月15日，涉及多种代币，总价值约66.5万美元。

攻击者利用Poolz合约中的算数溢出漏洞实施了这次攻击。主要问题出现在CreateMassPools函数中，该函数允许用户批量创建流动性池并提供初始流动性。攻击者通过精心构造的输入参数，使getArraySum函数产生溢出，从而在仅转入1个代币的情况下，在系统中记录了一个巨大的数值。

攻击流程如下：

1. 攻击者首先通过去中心化交易所兑换了一些MNZ代币。

2. 随后调用CreateMassPools函数，利用其中的getArraySum函数漏洞。该函数在累加用户输入的_StartAmount数组时，由于溢出返回了1，而实际记录的数值却是一个远大于此的数字。

3. 最后，攻击者通过调用withdraw函数提取资金，完成了整个攻击过程。

这次事件再次凸显了智能合约中算数溢出问题的严重性。为防止类似问题，开发者应考虑使用较新版本的Solidity编译器，它们会在编译过程中自动进行溢出检查。对于使用较早版本Solidity的项目，可以采用第三方安全库来解决整数溢出问题。

此次攻击也提醒我们，在处理涉及大量计算的智能合约时，必须格外谨慎，确保所有可能的边界情况都得到妥善处理。同时，定期进行安全审计和漏洞赏金计划也是保障项目安全的有效措施。