Poolz 遭遇算術溢出攻擊，損失約 665K 美元

近日，多個區塊鏈網路上的 Poolz 項目遭受黑客攻擊，導致大量代幣被盜，總價值約 665,000 美元。攻擊發生在 2023 年 3 月 15 日，涉及以太坊、BNB 智能鏈和 Polygon 等多個網路。

攻擊者利用了 Poolz 合約中的算術溢出漏洞。通過巧妙操作 CreateMassPools 函數，攻擊者能夠創建具有異常大初始流動性的池子，但實際只需轉入極少量代幣。這種不一致性最終導致攻擊者能夠提取遠超其實際存入量的代幣。

具體來說，攻擊者在調用 CreateMassPools 函數時，傳入了一個會導致 uint256 溢出的數組。雖然實際轉入的代幣數量很少，但由於溢出，系統錯誤地記錄了一個巨大的初始流動性數值。隨後，攻擊者通過 withdraw 函數提取了這些"虛假"的流動性。

此次事件暴露出的主要問題是整數溢出。爲防止類似漏洞，開發者應考慮使用較新版本的 Solidity 編譯器，這些版本會自動進行溢出檢查。對於使用較舊版本 Solidity 的項目，可以採用 OpenZeppelin 的 SafeMath 庫來防範整數溢出風險。

這次攻擊再次強調了在智能合約開發中嚴格進行安全審計的重要性，特別是在處理用戶資金的關鍵功能時。同時，它也提醒項目方和用戶要始終保持警惕，密切關注潛在的安全威脅。