Cetus подвергся атаке из-за уязвимости переполнения математических операций, убыток составил более 230 миллионов долларов
22 мая, поставщик ликвидности Cetus в экосистеме SUI предположительно подвергся атаке, глубина ликвидного пула значительно снизилась, несколько торговых пар токенов показали падение, предполагаемые убытки составили более 230 миллионов долларов. Cetus затем опубликовал объявление, в котором сообщил о временной приостановке смарт-контракта и начале расследования инцидента.
Суть атаки заключается в том, что злоумышленник, тщательно подбирая параметры, использует уязвимость математического переполнения в системе, чтобы за крайне малое количество токенов получить огромные ликвидные активы. Процесс атаки включает в себя следующие шаги:
Нападающий занял большое количество haSUI через Flash Loan, что привело к падению цены пула на 99,90%.
Открытие ликвидной позиции в очень узком диапазоне цен, ширина диапазона составляет всего 1,00496621%.
Используя уязвимость обхода проверки переполнения checked_shlw в функции get_delta_a, задекларировать добавление огромной ликвидности, но фактически заплатить только 1 токен.
Удалите ликвидность, чтобы получить большое количество haSUI и SUI токенов.
Возврат заемов на мгновенной основе, завершение атаки.
Атакующий успешно заработал около 230 миллионов долларов, включая различные активы, такие как SUI, vSUI, USDC и другие. После атаки часть средств была переведена через кроссчейн-мост на EVM-адрес, в том числе около 10 миллионов долларов, внесенных в Suilend, и 24,022,896 SUI, переведенных на новый адрес.
К счастью, при сотрудничестве Фонда SUI и других участников экосистемы в настоящее время успешно заморожены украденные средства в размере 162 миллионов долларов на SUI.
Cetus выпустил исправляющий патч, который в основном исправляет ошибку маски и условия проверки в функции checked_shlw, чтобы гарантировать правильное обнаружение ситуаций переполнения.
Эта атака подчеркивает опасность уязвимости переполнения в математике. Разработчики должны строго проверять все границы математических функций при разработке смарт-контрактов, чтобы предотвратить повторение подобных атак.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
17 Лайков
Награда
17
6
Поделиться
комментарий
0/400
GateUser-1a2ed0b9
· 07-22 13:32
Математика открывает, кто понимает...
Посмотреть ОригиналОтветить0
GateUser-aa7df71e
· 07-22 13:30
Смотри, я ведь прав, что sui - это мусорная цепочка.
Посмотреть ОригиналОтветить0
GateUser-c802f0e8
· 07-22 13:30
Жду教程 Клиповые купоны
Посмотреть ОригиналОтветить0
ChainSpy
· 07-22 13:24
Ай-ай, снова появимся в новостях.
Посмотреть ОригиналОтветить0
ZeroRushCaptain
· 07-22 13:24
Еще одно поле битвы потеряно, мой напоминатель о срезании неудачников заработал.
Cetus подвергся атаке математического переполнения, убытки составили 230 миллионов долларов, 162 миллиона уже заморожены.
Cetus подвергся атаке из-за уязвимости переполнения математических операций, убыток составил более 230 миллионов долларов
22 мая, поставщик ликвидности Cetus в экосистеме SUI предположительно подвергся атаке, глубина ликвидного пула значительно снизилась, несколько торговых пар токенов показали падение, предполагаемые убытки составили более 230 миллионов долларов. Cetus затем опубликовал объявление, в котором сообщил о временной приостановке смарт-контракта и начале расследования инцидента.
Суть атаки заключается в том, что злоумышленник, тщательно подбирая параметры, использует уязвимость математического переполнения в системе, чтобы за крайне малое количество токенов получить огромные ликвидные активы. Процесс атаки включает в себя следующие шаги:
Нападающий занял большое количество haSUI через Flash Loan, что привело к падению цены пула на 99,90%.
Открытие ликвидной позиции в очень узком диапазоне цен, ширина диапазона составляет всего 1,00496621%.
Используя уязвимость обхода проверки переполнения checked_shlw в функции get_delta_a, задекларировать добавление огромной ликвидности, но фактически заплатить только 1 токен.
Удалите ликвидность, чтобы получить большое количество haSUI и SUI токенов.
Возврат заемов на мгновенной основе, завершение атаки.
! Медленный туман: Цетус украл 230 миллионов долларов, анализ методов атаки и перевода средств
Атакующий успешно заработал около 230 миллионов долларов, включая различные активы, такие как SUI, vSUI, USDC и другие. После атаки часть средств была переведена через кроссчейн-мост на EVM-адрес, в том числе около 10 миллионов долларов, внесенных в Suilend, и 24,022,896 SUI, переведенных на новый адрес.
К счастью, при сотрудничестве Фонда SUI и других участников экосистемы в настоящее время успешно заморожены украденные средства в размере 162 миллионов долларов на SUI.
Cetus выпустил исправляющий патч, который в основном исправляет ошибку маски и условия проверки в функции checked_shlw, чтобы гарантировать правильное обнаружение ситуаций переполнения.
! Медленный туман: Цетус украл 230 миллионов долларов, анализ методов атаки и перевода средств
Эта атака подчеркивает опасность уязвимости переполнения в математике. Разработчики должны строго проверять все границы математических функций при разработке смарт-контрактов, чтобы предотвратить повторение подобных атак.