Poolz 遭遇安全事件，约 66.5 万美元资产受影响

近期，多个区块链网络上的 Poolz 项目遭遇安全事件，导致大量代币被非法提取。事件发生在世界协调时 2023 年 3 月 15 日凌晨 3 点 16 分左右，影响了以太坊、BNB 智能链和 Polygon 等多个网络。

据链上数据显示，此次事件涉及多种代币，包括 MEE、ESNC、DON、ASW、KMON、POOLZ 等。被提取的代币总价值约为 66.5 万美元。目前，部分被提取的代币已被兑换成 BNB，但尚未转移到其他地址。

分析显示，此次事件的根本原因是智能合约中存在算术溢出漏洞。攻击者通过巧妙利用 CreateMassPools 函数中的漏洞，实现了低成本大量提币的操作。具体来说，攻击者在创建流动性池时，利用了 getArraySum 函数的整数溢出问题，使得系统记录的存入金额远大于实际存入量。

事件过程大致如下：

1. 攻击者首先通过去中心化交易所兑换了少量 MNZ 代币。

2. 随后调用了 CreateMassPools 函数，该函数允许用户批量创建流动性池并提供初始流动性。

3. 在创建池子时，攻击者巧妙构造了输入参数，使得 getArraySum 函数返回值因溢出而变得很小，但实际记录的存入量却是一个很大的数值。

4. 最后，攻击者通过 withdraw 函数提取了远超实际存入量的代币。

为防止类似事件再次发生，业内专家建议开发者采取以下措施：

1. 使用较新版本的 Solidity 编程语言，这些版本内置了溢出检查机制。

2. 对于使用旧版本 Solidity 的项目，可以考虑引入 OpenZeppelin 的 SafeMath 库来处理整数运算，避免溢出问题。

3. 加强代码审计，特别注意可能导致算术溢出的部分。

4. 考虑引入多重签名等额外安全机制，为关键操作增加保护层。

这一事件再次提醒了区块链项目开发者和用户，在快速发展的加密货币生态系统中，安全始终是首要考虑的因素。项目方应当不断完善安全措施，而用户也需保持警惕，谨慎参与各类 DeFi 活动。