22 Mayıs'ta, SUI ekosistem likidite sağlayıcısı Cetus'un saldırıya uğradığı iddia edildi, birçok işlem çifti büyük ölçüde düştü ve kayıpların 230 milyon doları aştığı tahmin ediliyor. Cetus daha sonra akıllı sözleşmeleri askıya aldığını ve olayı araştırdığını açıkladı.
Güvenlik ekibi hızlı bir şekilde müdahale ederek analiz yaptı ve bir güvenlik uyarısı yayınladı. Aşağıda saldırı yöntemleri ve fon transfer durumu hakkında detaylı bir analiz bulunmaktadır.
Saldırı Analizi
Saldırgan, dikkatlice yapılandırılmış parametreler aracılığıyla sistem açığını kullanarak çok az bir token miktarı ile büyük miktarda likidite varlığı elde etmeyi başardı. Ana adımlar şunlardır:
Büyük miktarda haSUI'yi flash kredi ile borç almak, havuzun fiyatının %99.90 düşmesine neden oldu.
Çok dar bir fiyat aralığında likidite pozisyonu açmak, aralık genişliği yalnızca %1.00496621.
get_delta_a fonksiyonundaki checked_shlw'nun taşma tespiti bypass açığını kullanarak, büyük miktarda likidite ekleme beyanında bulunun ama gerçekte yalnızca 1 token ödeyin.
Sistem, gerekli haSUI sayısını hesaplarken ciddi bir sapma yaşadı ve bu da saldırganların çok düşük maliyetle büyük miktarda likit varlık elde etmesine neden oldu.
Likiditeyi kaldırarak büyük miktarda token kazancı elde edilir, flash kredi geri ödendikten sonra net kar yaklaşık 10 milyon haSUI ve 5.76 milyon SUI'dir.
Proje Tarafı Onarım Durumu
Cetus, checked_shlw fonksiyonundaki hata maskesini ve koşullarını düzeltmek için bir güncelleme yamanızı yayınladı ve taşma durumlarını doğru bir şekilde tespit etmeyi sağladı.
Fon Akışı Analizi
Saldırganlar yaklaşık 230 milyon dolar kazandı; bu kazanç SUI, vSUI, USDC gibi çeşitli varlıkları içeriyor. Bazı fonlar, EVM adresine taşınmak için köprü üzerinden aktarılmış, yaklaşık 10 milyon dolar Suilend'e yatırılmış, 24 milyon SUI ise yeni bir adrese aktarılmış ve henüz çekilmemiş.
Şans eseri, SUI Vakfı ve ekosistem üyeleri, yaklaşık 162 milyon dolar değerindeki çalınan fonları dondurmayı başardı.
EVM alım adresinde, bazı fonlar DEX üzerinden ETH'ye dönüştürüldü, 20,000 ETH yeni bir adrese aktarıldı, şu anda bu adresin bakiyesi 3,244 ETH.
Özet
Bu saldırı, matematiksel taşma açıklarının tehlikesini vurgulamaktadır. Geliştiricilerin akıllı sözleşme geliştirme sürecinde tüm matematiksel fonksiyonların sınır koşullarını titizlikle doğrulamaları gerekmektedir, böylece benzer hassas matematik saldırılarına karşı önlem alabilirler.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Cetus 2.3 milyar dolarlık bir saldırıya uğradı, SUI ekosistemi büyük bir darbe aldı.
Cetus 2.3 milyar dolarlık saldırı olayı analizi
22 Mayıs'ta, SUI ekosistem likidite sağlayıcısı Cetus'un saldırıya uğradığı iddia edildi, birçok işlem çifti büyük ölçüde düştü ve kayıpların 230 milyon doları aştığı tahmin ediliyor. Cetus daha sonra akıllı sözleşmeleri askıya aldığını ve olayı araştırdığını açıkladı.
Güvenlik ekibi hızlı bir şekilde müdahale ederek analiz yaptı ve bir güvenlik uyarısı yayınladı. Aşağıda saldırı yöntemleri ve fon transfer durumu hakkında detaylı bir analiz bulunmaktadır.
Saldırı Analizi
Saldırgan, dikkatlice yapılandırılmış parametreler aracılığıyla sistem açığını kullanarak çok az bir token miktarı ile büyük miktarda likidite varlığı elde etmeyi başardı. Ana adımlar şunlardır:
Büyük miktarda haSUI'yi flash kredi ile borç almak, havuzun fiyatının %99.90 düşmesine neden oldu.
Çok dar bir fiyat aralığında likidite pozisyonu açmak, aralık genişliği yalnızca %1.00496621.
get_delta_a fonksiyonundaki checked_shlw'nun taşma tespiti bypass açığını kullanarak, büyük miktarda likidite ekleme beyanında bulunun ama gerçekte yalnızca 1 token ödeyin.
Sistem, gerekli haSUI sayısını hesaplarken ciddi bir sapma yaşadı ve bu da saldırganların çok düşük maliyetle büyük miktarda likit varlık elde etmesine neden oldu.
Likiditeyi kaldırarak büyük miktarda token kazancı elde edilir, flash kredi geri ödendikten sonra net kar yaklaşık 10 milyon haSUI ve 5.76 milyon SUI'dir.
Proje Tarafı Onarım Durumu
Cetus, checked_shlw fonksiyonundaki hata maskesini ve koşullarını düzeltmek için bir güncelleme yamanızı yayınladı ve taşma durumlarını doğru bir şekilde tespit etmeyi sağladı.
Fon Akışı Analizi
Saldırganlar yaklaşık 230 milyon dolar kazandı; bu kazanç SUI, vSUI, USDC gibi çeşitli varlıkları içeriyor. Bazı fonlar, EVM adresine taşınmak için köprü üzerinden aktarılmış, yaklaşık 10 milyon dolar Suilend'e yatırılmış, 24 milyon SUI ise yeni bir adrese aktarılmış ve henüz çekilmemiş.
Şans eseri, SUI Vakfı ve ekosistem üyeleri, yaklaşık 162 milyon dolar değerindeki çalınan fonları dondurmayı başardı.
EVM alım adresinde, bazı fonlar DEX üzerinden ETH'ye dönüştürüldü, 20,000 ETH yeni bir adrese aktarıldı, şu anda bu adresin bakiyesi 3,244 ETH.
Özet
Bu saldırı, matematiksel taşma açıklarının tehlikesini vurgulamaktadır. Geliştiricilerin akıllı sözleşme geliştirme sürecinde tüm matematiksel fonksiyonların sınır koşullarını titizlikle doğrulamaları gerekmektedir, böylece benzer hassas matematik saldırılarına karşı önlem alabilirler.