Poolz 遭遇安全事件，約 66.5 萬美元資產受影響

近期，多個區塊鏈網路上的 Poolz 項目遭遇安全事件，導致大量代幣被非法提取。事件發生在世界協調時 2023 年 3 月 15 日凌晨 3 點 16 分左右，影響了以太坊、BNB 智能鏈和 Polygon 等多個網路。

據鏈上數據顯示，此次事件涉及多種代幣，包括 MEE、ESNC、DON、ASW、KMON、POOLZ 等。被提取的代幣總價值約爲 66.5 萬美元。目前，部分被提取的代幣已被兌換成 BNB，但尚未轉移到其他地址。

分析顯示，此次事件的根本原因是智能合約中存在算術溢出漏洞。攻擊者通過巧妙利用 CreateMassPools 函數中的漏洞，實現了低成本大量提幣的操作。具體來說，攻擊者在創建流動性池時，利用了 getArraySum 函數的整數溢出問題，使得系統記錄的存入金額遠大於實際存入量。

事件過程大致如下：

1. 攻擊者首先通過去中心化交易所兌換了少量 MNZ 代幣。

2. 隨後調用了 CreateMassPools 函數，該函數允許用戶批量創建流動性池並提供初始流動性。

3. 在創建池子時，攻擊者巧妙構造了輸入參數，使得 getArraySum 函數返回值因溢出而變得很小，但實際記錄的存入量卻是一個很大的數值。

4. 最後，攻擊者通過 withdraw 函數提取了遠超實際存入量的代幣。

爲防止類似事件再次發生，業內專家建議開發者採取以下措施：

1. 使用較新版本的 Solidity 編程語言，這些版本內置了溢出檢查機制。

2. 對於使用舊版本 Solidity 的項目，可以考慮引入 OpenZeppelin 的 SafeMath 庫來處理整數運算，避免溢出問題。

3. 加強代碼審計，特別注意可能導致算術溢出的部分。

4. 考慮引入多重籤名等額外安全機制，爲關鍵操作增加保護層。

這一事件再次提醒了區塊鏈項目開發者和用戶，在快速發展的加密貨幣生態系統中，安全始終是首要考慮的因素。項目方應當不斷完善安全措施，而用戶也需保持警惕，謹慎參與各類 DeFi 活動。