Poolz項目遭遇安全漏洞，約66.5萬美元資產受影響

近日，一起針對跨鏈項目Poolz的安全事件引起了業界關注。據區塊鏈安全監控數據顯示，3月15日凌晨，Poolz在以太坊、BNB Chain和Polygon網路上的智能合約遭到攻擊，導致多種代幣資產受損，總價值約66.5萬美元。

此次事件涉及多種代幣，包括MEE、ESNC、DON、ASW、KMON、POOLZ等。攻擊者利用智能合約中的一個算術溢出漏洞，成功操縱了代幣池的創建過程。目前，部分被盜資產已被兌換成BNB，但尚未轉移出攻擊者的地址。

攻擊者主要利用了Poolz合約中CreateMassPools函數的漏洞。該函數原本用於批量創建代幣池並提供初始流動性，但其中的getArraySum函數存在整數溢出問題。攻擊者通過精心構造的輸入參數，使得累加結果超出uint256類型的範圍，導致實際轉入的代幣數量與記錄的數量嚴重不符。

這一漏洞使得攻擊者能夠以極少量的代幣輸入，在系統中記錄大量的代幣餘額。隨後，攻擊者通過調用withdraw函數提取這些虛假記錄的代幣，從而完成了整個攻擊過程。

此類算術溢出問題在智能合約開發中並不罕見。爲防範類似風險，開發者應當使用較新版本的Solidity編程語言，這些版本在編譯時會自動進行溢出檢查。對於使用較早版本Solidity的項目，建議引入OpenZeppelin的SafeMath庫來處理整數運算，以避免溢出風險。

這一事件再次提醒了區塊鏈項目方和開發者，在智能合約設計和實現過程中必須格外注意安全性。同時，也凸顯了定期進行安全審計和漏洞賞金計劃的重要性，以盡早發現並修復潛在的安全隱患。