- Topik
184 Popularitas
4k Popularitas
511 Popularitas
64k Popularitas
31k Popularitas
5k Popularitas
98k Popularitas
29k Popularitas
28k Popularitas
7k Popularitas
- Sematkan
184 Popularitas
4k Popularitas
511 Popularitas
64k Popularitas
31k Popularitas
5k Popularitas
98k Popularitas
29k Popularitas
28k Popularitas
7k Popularitas
Cetus diserang senilai 230 juta dolar AS, ekosistem SUI mengalami kerugian besar
Analisis Insiden Serangan $230 Juta pada Cetus
Pada 22 Mei, penyedia likuiditas ekosistem SUI, Cetus, diduga mengalami serangan, dengan banyak pasangan perdagangan mengalami penurunan drastis, diperkirakan kerugian melebihi 230 juta dolar AS. Cetus kemudian mengeluarkan pengumuman bahwa mereka telah menghentikan kontrak pintar dan sedang menyelidiki kejadian tersebut.
Tim keamanan segera melakukan analisis dan mengeluarkan peringatan keamanan. Berikut adalah analisis rinci tentang metode serangan dan situasi transfer dana.
Analisis Serangan
Penyerang berhasil melakukan serangan dengan memanfaatkan celah sistem untuk menukarkan jumlah token yang sangat kecil dengan aset likuiditas yang besar melalui parameter yang dirancang dengan cermat. Langkah-langkah utamanya adalah sebagai berikut:
Meminjam banyak haSUI melalui pinjaman kilat menyebabkan harga kolam anjlok 99,90%.
Membuka posisi likuiditas di kisaran harga yang sangat sempit, dengan lebar kisaran hanya 1,00496621%.
Memanfaatkan kerentanan bypass deteksi overflow pada checked_shlw dalam fungsi get_delta_a, mendeklarasikan penambahan likuiditas besar tetapi sebenarnya hanya membayar 1 token.
Sistem mengalami penyimpangan serius saat menghitung jumlah haSUI yang diperlukan, yang menyebabkan penyerang memperoleh aset likuiditas dalam jumlah besar dengan biaya yang sangat rendah.
Menghapus likuiditas untuk mendapatkan keuntungan token besar, setelah mengembalikan pinjaman kilat, keuntungan bersih sekitar 10 juta haSUI dan 5,76 juta SUI.
Situasi Perbaikan Pihak Proyek
Cetus telah merilis patch perbaikan, yang terutama memperbaiki kesalahan masker dan kondisi penilaian dalam fungsi checked_shlw, memastikan dapat mendeteksi situasi overflow dengan benar.
Analisis Aliran Dana
Penyerang memperoleh keuntungan sekitar 230 juta dolar AS, termasuk berbagai aset seperti SUI, vSUI, dan USDC. Sebagian dana dipindahkan ke alamat EVM melalui jembatan lintas rantai, sekitar 10 juta dolar AS disimpan di Suilend, dan 24 juta SUI dipindahkan ke alamat baru yang belum ditarik.
Untungnya, Yayasan SUI dan anggota ekosistem bekerja sama untuk membekukan sekitar 162 juta dolar AS dana yang dicuri.
Di alamat penerima EVM, sebagian dana ditukar menjadi ETH melalui DEX, 20.000 ETH ditransfer ke alamat baru, saat ini saldo alamat tersebut adalah 3244 ETH.
Ringkasan
Serangan kali ini menyoroti bahaya dari kerentanan overflow matematis. Pengembang harus secara ketat memverifikasi semua kondisi batas fungsi matematis dalam pengembangan kontrak pintar untuk mencegah serangan matematis yang serupa.