Cetus sufrió un ataque que resultó en grandes pérdidas, análisis de la técnica del ataque y flujo de fondos
El 22 de mayo, el proveedor de liquidez en el ecosistema SUI, Cetus, aparentemente sufrió un ataque, y varios pares de negociación experimentaron caídas significativas, con pérdidas estimadas en más de 230 millones de dólares. Cetus luego emitió un anuncio diciendo que había suspendido el contrato inteligente y que estaba investigando el incidente.
El equipo de seguridad intervino rápidamente para analizar, a continuación se presenta un análisis detallado de las técnicas de ataque y la situación de la transferencia de fondos.
Análisis de Ataques
Los atacantes, a través de la construcción cuidadosa de parámetros, aprovechan las vulnerabilidades de desbordamiento para eludir la detección y cambian una cantidad mínima de tokens por enormes activos de liquidez. Los pasos específicos son los siguientes:
El atacante tomó prestados grandes cantidades de haSUI a través de un préstamo relámpago, lo que provocó una caída del 99.90% en el precio del fondo.
Abrir posiciones de liquidez en un rango de precios muy estrecho, con un ancho de rango de solo 1.00496621%.
Declara agregar una gran liquidez, pero en realidad solo paga 1 token. Este es el núcleo del ataque, que aprovecha la vulnerabilidad de omisión de la detección de desbordamiento en la función checked_shlw de get_delta_a.
El sistema malinterpreta la cantidad de tokens necesarios, lo que lleva a que los atacantes intercambien una cantidad mínima de tokens por una gran cantidad de activos de liquidez.
El atacante retira la liquidez, obtiene enormes ganancias en tokens, y al final obtiene una ganancia neta de aproximadamente 10 millones de haSUI y 5.76 millones de SUI.
Situación de reparación del proyecto
Cetus ha lanzado un parche de corrección que corrige principalmente la función checked_shlw:
Corrija la máscara de error al umbral correcto
Ajustar las condiciones de juicio
Asegúrate de poder detectar correctamente el desbordamiento que puede causar un desplazamiento a la izquierda.
Análisis de flujo de fondos
Los atacantes obtuvieron aproximadamente 230 millones de dólares, incluyendo varios activos como SUI, vSUI y USDC. Parte de los fondos se transfirieron a direcciones EVM a través de puentes entre cadenas. El flujo específico es el siguiente:
Se depositaron aproximadamente 10 millones de dólares en Suilend
24 millones de SUI transferidos a nueva dirección, aún no transferidos.
Transferir USDC, SOL, suiETH, etc. a direcciones EVM a través de un puente entre cadenas
Parte de los fondos en la dirección EVM se intercambia por ETH
20000 ETH transferidos a una nueva dirección
Actualmente, la Fundación SUI afirma haber congelado con éxito 162 millones de dólares en fondos robados.
Resumen
Este ataque demuestra plenamente la peligrosidad de las vulnerabilidades de desbordamiento matemático. Los desarrolladores deben verificar estrictamente las condiciones de borde de todas las funciones matemáticas al desarrollar contratos inteligentes para prevenir ataques similares.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
14 me gusta
Recompensa
14
2
Compartir
Comentar
0/400
ApeWithAPlan
· hace15h
Otro gran agujero es realmente ridículo
Ver originalesResponder0
StrawberryIce
· hace15h
sui se ha ido de nuevo, realmente es un problema tras otro.
Cetus sufrió un ataque de hacker con pérdidas de 230 millones de dólares. La fundación SUI ha congelado 162 millones.
Cetus sufrió un ataque que resultó en grandes pérdidas, análisis de la técnica del ataque y flujo de fondos
El 22 de mayo, el proveedor de liquidez en el ecosistema SUI, Cetus, aparentemente sufrió un ataque, y varios pares de negociación experimentaron caídas significativas, con pérdidas estimadas en más de 230 millones de dólares. Cetus luego emitió un anuncio diciendo que había suspendido el contrato inteligente y que estaba investigando el incidente.
El equipo de seguridad intervino rápidamente para analizar, a continuación se presenta un análisis detallado de las técnicas de ataque y la situación de la transferencia de fondos.
Análisis de Ataques
Los atacantes, a través de la construcción cuidadosa de parámetros, aprovechan las vulnerabilidades de desbordamiento para eludir la detección y cambian una cantidad mínima de tokens por enormes activos de liquidez. Los pasos específicos son los siguientes:
El atacante tomó prestados grandes cantidades de haSUI a través de un préstamo relámpago, lo que provocó una caída del 99.90% en el precio del fondo.
Abrir posiciones de liquidez en un rango de precios muy estrecho, con un ancho de rango de solo 1.00496621%.
Declara agregar una gran liquidez, pero en realidad solo paga 1 token. Este es el núcleo del ataque, que aprovecha la vulnerabilidad de omisión de la detección de desbordamiento en la función checked_shlw de get_delta_a.
El sistema malinterpreta la cantidad de tokens necesarios, lo que lleva a que los atacantes intercambien una cantidad mínima de tokens por una gran cantidad de activos de liquidez.
El atacante retira la liquidez, obtiene enormes ganancias en tokens, y al final obtiene una ganancia neta de aproximadamente 10 millones de haSUI y 5.76 millones de SUI.
Situación de reparación del proyecto
Cetus ha lanzado un parche de corrección que corrige principalmente la función checked_shlw:
Análisis de flujo de fondos
Los atacantes obtuvieron aproximadamente 230 millones de dólares, incluyendo varios activos como SUI, vSUI y USDC. Parte de los fondos se transfirieron a direcciones EVM a través de puentes entre cadenas. El flujo específico es el siguiente:
Actualmente, la Fundación SUI afirma haber congelado con éxito 162 millones de dólares en fondos robados.
Resumen
Este ataque demuestra plenamente la peligrosidad de las vulnerabilidades de desbordamiento matemático. Los desarrolladores deben verificar estrictamente las condiciones de borde de todas las funciones matemáticas al desarrollar contratos inteligentes para prevenir ataques similares.