Cetus sufre un ataque de vulnerabilidad de desbordamiento matemático, con pérdidas de más de 230 millones de dólares
El 22 de mayo, el proveedor de liquidez Cetus en el ecosistema SUI supuestamente fue atacado, la profundidad del fondo de liquidez disminuyó drásticamente, y varios pares de tokens experimentaron caídas, estimándose que las pérdidas superan los 230 millones de dólares. Cetus luego emitió un anuncio indicando que ha suspendido temporalmente el contrato inteligente y está investigando el incidente.
El núcleo de este ataque es que el atacante, a través de parámetros cuidadosamente construidos, aprovecha una vulnerabilidad de desbordamiento matemático en el sistema para intercambiar una cantidad mínima de tokens por enormes activos de liquidez. El proceso de ataque incluye principalmente los siguientes pasos:
El atacante tomó prestado una gran cantidad de haSUI a través de un préstamo relámpago, lo que provocó que el precio del fondo cayera un 99.90%.
Abrir posiciones de liquidez en un rango de precios muy estrecho, con un ancho de rango de solo 1.00496621%.
Aprovechar la vulnerabilidad de elusión en la detección de desbordamiento de checked_shlw en la función get_delta_a para declarar la adición de una gran liquidez, pero en realidad solo se pagó 1 token.
Retira liquidez y obtén una gran cantidad de haSUI y SUI tokens.
Devolver el préstamo relámpago, completar el ataque.
Los atacantes lograron obtener aproximadamente 230 millones de dólares, incluyendo múltiples activos como SUI, vSUI y USDC. Tras el ataque, parte de los fondos se transferieron a direcciones EVM a través de un puente cruzado, incluyendo aproximadamente 10 millones de dólares depositados en Suilend y 24,022,896 SUI transferidos a una nueva dirección.
Afortunadamente, con la colaboración de la Fundación SUI y otros miembros del ecosistema, se ha logrado congelar con éxito 162 millones de dólares en fondos robados en SUI.
Cetus ha lanzado un parche de corrección que principalmente corrige la máscara de error y las condiciones de verificación en la función checked_shlw, asegurando que pueda detectar correctamente las situaciones de desbordamiento.
Este ataque destaca la peligrosidad de las vulnerabilidades de desbordamiento matemático. Los desarrolladores deben verificar estrictamente todas las condiciones de borde de las funciones matemáticas durante el desarrollo de contratos inteligentes para prevenir que ataques similares ocurran nuevamente.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
17 me gusta
Recompensa
17
6
Compartir
Comentar
0/400
GateUser-1a2ed0b9
· 07-22 13:32
Matemáticas, ¿quién entiende eso...
Ver originalesResponder0
GateUser-aa7df71e
· 07-22 13:30
Mira, tenía razón, sui es una cadena de basura.
Ver originalesResponder0
GateUser-c802f0e8
· 07-22 13:30
Sentarse a esperar tutoriales de cupones de clip
Ver originalesResponder0
ChainSpy
· 07-22 13:24
Ay, otra vez va a salir en las noticias.
Ver originalesResponder0
ZeroRushCaptain
· 07-22 13:24
Otra batalla ha caído, mi recordatorio de recolección de tontos ha funcionado.
Ver originalesResponder0
MetaverseLandlord
· 07-22 13:19
Esto significa que el equipo detrás del proyecto ya no tiene pantalones.
Cetus sufrió un ataque de desbordamiento matemático, con pérdidas de 230 millones de dólares, 162 millones ya congelados.
Cetus sufre un ataque de vulnerabilidad de desbordamiento matemático, con pérdidas de más de 230 millones de dólares
El 22 de mayo, el proveedor de liquidez Cetus en el ecosistema SUI supuestamente fue atacado, la profundidad del fondo de liquidez disminuyó drásticamente, y varios pares de tokens experimentaron caídas, estimándose que las pérdidas superan los 230 millones de dólares. Cetus luego emitió un anuncio indicando que ha suspendido temporalmente el contrato inteligente y está investigando el incidente.
El núcleo de este ataque es que el atacante, a través de parámetros cuidadosamente construidos, aprovecha una vulnerabilidad de desbordamiento matemático en el sistema para intercambiar una cantidad mínima de tokens por enormes activos de liquidez. El proceso de ataque incluye principalmente los siguientes pasos:
El atacante tomó prestado una gran cantidad de haSUI a través de un préstamo relámpago, lo que provocó que el precio del fondo cayera un 99.90%.
Abrir posiciones de liquidez en un rango de precios muy estrecho, con un ancho de rango de solo 1.00496621%.
Aprovechar la vulnerabilidad de elusión en la detección de desbordamiento de checked_shlw en la función get_delta_a para declarar la adición de una gran liquidez, pero en realidad solo se pagó 1 token.
Retira liquidez y obtén una gran cantidad de haSUI y SUI tokens.
Devolver el préstamo relámpago, completar el ataque.
Los atacantes lograron obtener aproximadamente 230 millones de dólares, incluyendo múltiples activos como SUI, vSUI y USDC. Tras el ataque, parte de los fondos se transferieron a direcciones EVM a través de un puente cruzado, incluyendo aproximadamente 10 millones de dólares depositados en Suilend y 24,022,896 SUI transferidos a una nueva dirección.
Afortunadamente, con la colaboración de la Fundación SUI y otros miembros del ecosistema, se ha logrado congelar con éxito 162 millones de dólares en fondos robados en SUI.
Cetus ha lanzado un parche de corrección que principalmente corrige la máscara de error y las condiciones de verificación en la función checked_shlw, asegurando que pueda detectar correctamente las situaciones de desbordamiento.
Este ataque destaca la peligrosidad de las vulnerabilidades de desbordamiento matemático. Los desarrolladores deben verificar estrictamente todas las condiciones de borde de las funciones matemáticas durante el desarrollo de contratos inteligentes para prevenir que ataques similares ocurran nuevamente.