Poolz遭受攻擊，損失約66.5萬美元

近日，Poolz平台遭遇了一次嚴重的安全事件，導致約66.5萬美元的損失。這次攻擊涉及多個區塊鏈，包括以太坊、BNB智能鏈和Polygon。

攻擊者利用了Poolz合約中的一個算術溢出漏洞。具體來說，問題出現在CreateMassPools函數中的getArraySum函數。該函數在計算代幣數量時未能正確處理大數，導致溢出，使攻擊者能夠以極低成本獲取大量代幣。

攻擊過程大致如下：

1. 攻擊者首先在某DEX上兌換了少量MNZ代幣。

2. 隨後調用了有漏洞的CreateMassPools函數。該函數本應允許用戶批量創建流動性池並提供初始流動性。

3. 通過精心構造的參數，攻擊者觸發了getArraySum函數中的整數溢出。這導致系統錯誤地認爲攻擊者提供了大量代幣，而實際上只轉入了極少量。

4. 最後，攻擊者通過withdraw函數提取了不屬於自己的代幣，完成了攻擊。

此次事件涉及多種代幣，包括MEE、ESNC、DON、ASW、KMON、POOLZ等。攻擊者已將部分獲利兌換爲BNB，但截至報告時尚未將資金轉出。

爲防止類似問題，安全專家建議開發者使用較新版本的Solidity編程語言，這些版本在編譯時會自動進行溢出檢查。對於使用舊版Solidity的項目，可以考慮使用OpenZeppelin的SafeMath庫來防止整數溢出。

這一事件再次強調了在智能合約開發中嚴格進行安全審計的重要性，特別是在處理涉及大量計算的功能時。它也提醒投資者和用戶要謹慎對待新興的DeFi項目，並時刻關注項目的安全狀況。