Poolz遭遇安全漏洞，數字資產損失約66.5萬美元

近日，一起針對多鏈資產的安全事件引發業內關注。根據鏈上數據監測，UTC時間2023年3月15日凌晨3點16分左右，以太坊、BNB鏈和Polygon網路上的Poolz項目遭遇攻擊。此次事件涉及多種代幣，包括MEE、ESNC、DON、ASW、KMON、POOLZ等，總計約66.5萬美元資產受到影響。

攻擊者利用智能合約漏洞執行了一系列操作。首先在某去中心化交易所兌換了一定數量的MNZ代幣，隨後調用了CreateMassPools函數。該函數本應用於批量創建流動性池並提供初始流動性，但其中的getArraySum函數存在算術溢出隱患。

具體來說，攻擊者通過精心構造的參數，使得_StartAmount數組中的元素之和超出了uint256類型的表示範圍。這導致累加結果溢出爲1，而合約卻仍按照原始的_StartAmount值記錄池子屬性。因此，攻擊者只需轉入1個代幣，就能在系統中記錄大量虛假流動性。

最後，攻擊者通過調用withdraw函數提取資金，完成了整個攻擊過程。目前，部分被盜資產已被兌換成BNB，但尚未轉移出攻擊者地址。

此次事件再次凸顯了智能合約安全的重要性。爲防範類似問題，建議開發者使用較新版本的Solidity編譯器，其內置了溢出檢查機制。對於早期版本，也可考慮引入OpenZeppelin等第三方安全庫來增強代碼安全性。

這一事件提醒我們，在快速發展的區塊鏈領域，安全始終應該是首要考慮因素。項目方需要更加重視代碼審計和漏洞測試，而用戶也應提高風險意識，謹慎參與新興項目。只有構建更加健康、安全的生態系統，才能推動整個行業的可持續發展。