Cetus подвергся атаке на 230 миллионов долларов, экосистема SUI понесла тяжелые потери

Анализ инцидента с атакой на Cetus на сумму 230 миллионов долларов

22 мая поставщик ликвидности SUI-экосистемы Cetus, вероятно, стал жертвой атаки, в результате чего несколько торговых пар значительно упали, и предполагаемые убытки составили более 230 миллионов долларов. Затем Cetus выпустил объявление о приостановке смарт-контракта и проведении расследования по данному инциденту.

Команда безопасности быстро вмешалась, провела анализ и выпустила предупреждение о безопасности. Ниже приведен подробный анализ методов атаки и ситуации с переводом средств.

! Медленный туман: Цетус украл 230 миллионов долларов, анализ методов атаки и перевода средств

Анализ атак

Злоумышленник с помощью тщательно составленных параметров использовал уязвимость системы для осуществления атаки, в которой маленькое количество токенов обменивалось на огромные ликвидные активы. Основные шаги следующие:

  1. Заимствование большого количества haSUI через闪电贷 привело к обрушению цены пула на 99,90%.

  2. Открытие ликвидных позиций в очень узком ценовом диапазоне, ширина диапазона всего 1.00496621%.

  3. Используя уязвимость обхода проверки переполнения checked_shlw в функции get_delta_a, заявите о добавлении огромной ликвидности, но фактически заплатите только 1 токен.

  4. Система допустила серьезную ошибку в расчете необходимого количества haSUI, что позволило злоумышленникам получить большое количество ликвидных активов по крайне низкой стоимости.

  5. Удаление ликвидности приносит огромную прибыль в токенах, чистая прибыль составляет около 10 миллионов haSUI и 5,76 миллионов SUI после возврата флэш-займа.

Медленный туман: Cetus украли 230 миллионов долларов, анализ методов атаки и ситуации с переводом средств

! Медленный туман: Цетус украл 230 миллионов долларов, анализ методов атаки и перевода средств

Медленный туман: Cetus украли 230 миллионов долларов, анализ методов атаки и ситуации с переводом средств

Медленный туман: Cetus был украден на 230 миллионов долларов, анализ методов атаки и ситуации с переводом средств

! Медленный туман: Цетус украл 230 миллионов долларов, анализ методов атак и переводов средств

Медленный туман: Cetus был украден на 230 миллионов долларов, анализ методов атаки и ситуации с перемещением средств

Ситуация с исправлениями от команды проекта

Cetus выпустил патч для исправления, который в основном исправляет ошибочную маску и условия проверки в функции checked_shlw, чтобы обеспечить правильное обнаружение переполнения.

Медленный туман: Cetus украли 230 миллионов долларов, анализ методов атаки и ситуации с переводом средств

Анализ потоков средств

Атакующие получили прибыль около 230 миллионов долларов США, включая различные активы, такие как SUI, vSUI, USDC и др. Часть средств была переведена на адрес EVM через кросс-чейн мост, около 10 миллионов долларов США были внесены в Suilend, 24 миллиона SUI переведены на новый адрес и пока не были выведены.

К счастью, Фонд SUI и члены экосистемы сотрудничали, чтобы заморозить около 162 миллионов долларов украденных средств.

На адрес EVM поступило, что часть средств была обменена на ETH через DEX, 20 000 ETH переведены на новый адрес, в настоящее время баланс этого адреса составляет 3244 ETH.

Медленный туман: Cetus украдено 230 миллионов долларов, анализ методов атаки и ситуации с переводом средств

Медленный туман: Cetus украдено 230 миллионов долларов, анализ метода атаки и ситуации с переводом средств

! Медленный туман: Цетус украл 230 миллионов долларов, анализ методов атаки и переводов средств

! Медленный туман: 230 миллионов долларов, украденные у Cetus, анализ методов атак и переводов средств

! Медленный туман: Цетус украл 230 миллионов долларов, анализ методов атак и переводов средств

Медленный туман: Cetus украдено 230 миллионов долларов, анализ методов атаки и ситуации с переводом средств

Медленный туман: Cetus украл 230 миллионов долларов, анализ методов атаки и ситуации с переводом средств

Медленный туман: Cetus украли 230 миллионов долларов, анализ методов атаки и ситуации с переводом средств

! Медленный туман: Цетус украл 230 миллионов долларов, анализ методов атаки и переводов средств

Медленный туман: у Cetus украдено 230 миллионов долларов, анализ методов атаки и ситуации с переводом средств

Медленный туман: Cetus украдено 230 миллионов долларов, анализ методов атаки и ситуации с переводом средств

Медленный туман: Cetus украдено 230 миллионов долларов, анализ методов атаки и ситуации с переводом средств

Медленный туман: Cetus украдено 230 миллионов долларов, анализ методов атаки и ситуации с переводом средств

Резюме

Данная атака подчеркивает опасность математических переполнений. Разработчики при разработке смарт-контрактов должны строго проверять все граничные условия математических функций, чтобы предотвратить подобные точные математические атаки.

CETUS0.79%
SUI5.1%
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
  • Награда
  • комментарий
  • Поделиться
комментарий
0/400
Нет комментариев
  • Закрепить