تعرضت Cetus لهجوم أدى إلى خسائر ضخمة، تحليل أسلوب الهجوم وتدفق الأموال
في 22 مايو، يبدو أن مزود السيولة على نظام SUI، Cetus، تعرض لهجوم، حيث انخفضت عدة أزواج تداول بشكل كبير، ومن المتوقع أن تتجاوز الخسائر 230 مليون دولار. ثم أصدرت Cetus إعلانًا بأنها قد أوقفت العقود الذكية، وهي تحقق في هذه الحادثة.
تدخل فريق الأمان بسرعة للتحليل، وفيما يلي تحليل تفصيلي لأساليب الهجوم وحالات تحويل الأموال.
تحليل الهجوم
استغل المهاجمون ثغرات تجاوز السعة من خلال بناء معلمات بعناية لتجاوز الكشف، مما سمح لهم بتبادل كميات صغيرة جدًا من الرموز للحصول على أصول سيولة ضخمة. الخطوات المحددة هي كما يلي:
قام المهاجمون باقتراض كمية كبيرة من haSUI من خلال قرض فوري، مما أدى إلى انخفاض سعر المسبح بنسبة 99.90%.
فتح مراكز سيولة في نطاق سعري ضيق للغاية، بعرض نطاق يبلغ فقط 1.00496621%.
إعلان إضافة سيولة ضخمة، ولكن في الواقع دفع 1 توكن فقط. هذه هي جوهر الهجوم، حيث تم استغلال ثغرة تجاوز الفحص في دالة get_delta_a المعروفة باسم checked_shlw.
تم تقييم عدد الرموز المطلوب بشكل خاطئ من قبل النظام، مما أدى إلى قيام المهاجمين بتحويل عدد قليل جداً من الرموز إلى كمية كبيرة من الأصول السائلة.
قام المهاجم بإزالة السيولة، وحصل على أرباح ضخمة من الرموز، وحقق في النهاية صافي ربح يقارب 10 ملايين haSUI و 5.76 مليون SUI.
أصدرت Cetus تصحيحًا، والذي يصحح بشكل أساسي دالة checked_shlw:
تصحيح قناع الخطأ إلى العتبة الصحيحة
تعديل شروط التقييم
تأكد من القدرة على الكشف بشكل صحيح عن الفائض الذي قد يحدث بسبب الإزاحة لليسار
تحليل تدفق الأموال
حقق المهاجمون أرباحًا تبلغ حوالي 230 مليون دولار، بما في ذلك أصول متعددة مثل SUI وvSUI وUSDC. تم تحويل جزء من الأموال إلى عنوان EVM عبر جسر متعدد السلاسل. التدفق المحدد كما يلي:
حوالي 10 مليون دولار تم إيداعها في Suilend
2400万SUI تم تحويلها إلى عنوان جديد، ولم يتم تحويلها بعد
نقل USDC و SOL و suiETH إلى عنوان EVM من خلال جسر متعدد السلاسل
حالياً، تقول مؤسسة SUI إنها قد نجحت في تجميد 162 مليون دولار من الأموال المسروقة.
ملخص
الهجوم الأخير أظهر بشكل كامل خطورة ثغرات تجاوز سعة الرياضيات. يجب على المطورين في تطوير العقود الذكية التحقق بدقة من جميع شروط الحدود للدوال الرياضية، لحماية أنفسهم من هجمات مماثلة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 14
أعجبني
14
2
مشاركة
تعليق
0/400
ApeWithAPlan
· منذ 13 س
ثغرة كبيرة أخرى سخيفة حقًا
شاهد النسخة الأصليةرد0
StrawberryIce
· منذ 13 س
سوي مرة أخرى اختفى، حقًا لم تنتهي موجة حتى بدأت أخرى.
تعرضت Cetus لعملية اختراق هاكر أدت إلى خسارة قدرها 2.3 مليون دولار، وقد قامت مؤسسة SUI بتجميد 1.62 مليون.
تعرضت Cetus لهجوم أدى إلى خسائر ضخمة، تحليل أسلوب الهجوم وتدفق الأموال
في 22 مايو، يبدو أن مزود السيولة على نظام SUI، Cetus، تعرض لهجوم، حيث انخفضت عدة أزواج تداول بشكل كبير، ومن المتوقع أن تتجاوز الخسائر 230 مليون دولار. ثم أصدرت Cetus إعلانًا بأنها قد أوقفت العقود الذكية، وهي تحقق في هذه الحادثة.
تدخل فريق الأمان بسرعة للتحليل، وفيما يلي تحليل تفصيلي لأساليب الهجوم وحالات تحويل الأموال.
تحليل الهجوم
استغل المهاجمون ثغرات تجاوز السعة من خلال بناء معلمات بعناية لتجاوز الكشف، مما سمح لهم بتبادل كميات صغيرة جدًا من الرموز للحصول على أصول سيولة ضخمة. الخطوات المحددة هي كما يلي:
قام المهاجمون باقتراض كمية كبيرة من haSUI من خلال قرض فوري، مما أدى إلى انخفاض سعر المسبح بنسبة 99.90%.
فتح مراكز سيولة في نطاق سعري ضيق للغاية، بعرض نطاق يبلغ فقط 1.00496621%.
إعلان إضافة سيولة ضخمة، ولكن في الواقع دفع 1 توكن فقط. هذه هي جوهر الهجوم، حيث تم استغلال ثغرة تجاوز الفحص في دالة get_delta_a المعروفة باسم checked_shlw.
تم تقييم عدد الرموز المطلوب بشكل خاطئ من قبل النظام، مما أدى إلى قيام المهاجمين بتحويل عدد قليل جداً من الرموز إلى كمية كبيرة من الأصول السائلة.
قام المهاجم بإزالة السيولة، وحصل على أرباح ضخمة من الرموز، وحقق في النهاية صافي ربح يقارب 10 ملايين haSUI و 5.76 مليون SUI.
! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويل الأموال
حالة إصلاح المشروع
أصدرت Cetus تصحيحًا، والذي يصحح بشكل أساسي دالة checked_shlw:
تحليل تدفق الأموال
حقق المهاجمون أرباحًا تبلغ حوالي 230 مليون دولار، بما في ذلك أصول متعددة مثل SUI وvSUI وUSDC. تم تحويل جزء من الأموال إلى عنوان EVM عبر جسر متعدد السلاسل. التدفق المحدد كما يلي:
! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويل الأموال
! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويلات الأموال
! ضباب بطيء: 230 مليون دولار مسروقة من سيتوس ، تحليل طرق الهجوم وتحويلات الأموال
! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويلات الأموال
! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويل الأموال
! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويلات الأموال
! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويلات الأموال
حالياً، تقول مؤسسة SUI إنها قد نجحت في تجميد 162 مليون دولار من الأموال المسروقة.
ملخص
الهجوم الأخير أظهر بشكل كامل خطورة ثغرات تجاوز سعة الرياضيات. يجب على المطورين في تطوير العقود الذكية التحقق بدقة من جميع شروط الحدود للدوال الرياضية، لحماية أنفسهم من هجمات مماثلة.