مزود السيولة في نظام SUI البيئي Cetus يتعرض لهجوم كبير، وخسائره تتجاوز 2.3 مليار دولار
في 22 مايو، تعرض مزود السيولة Cetus في نظام SUI البيئي لهجوم، مما أدى إلى انخفاض كبير في عدة أزواج تجارية، ومن المتوقع أن تتجاوز قيمة الخسائر 230 مليون دولار. ثم أصدرت Cetus إعلانًا يفيد بأنها قد أوقفت العقد الذكي وأنها تحقق في هذا الحدث.
بعد تدخل فريق الأمن للتحليل، تم تقديم تحليل مفصل لأساليب الهجوم وحالة تحويل الأموال.
تحليل الهجوم
استغل المهاجمون الثغرات في النظام من خلال بناء معلمات بعناية لتنفيذ هجوم استبدال كميات صغيرة من الرموز مقابل سيولة ضخمة. الخطوات الرئيسية كالتالي:
من خلال اقتراض كمية كبيرة من haSUI عبر القرض الفوري، أدى ذلك إلى انهيار سعر الحوض بنسبة 99.90%.
فتح مراكز السيولة في نطاق سعري ضيق للغاية.
استغلال ثغرة الكشف عن الفائض في دالة get_delta_a، والإعلان عن إضافة سيولة ضخمة ولكن الدفع الفعلي هو 1 توكن فقط.
إزالة السيولة للحصول على عائدات ضخمة من الرموز.
إعادة قرض اللمعان، صافي الربح حوالي 1000万 haSUI و 570万 SUI.
أسباب الثغرات
تتمثل جوهر الهجوم في وجود عيب خطير في دالة checked_shlw. أي إدخال أقل من حد معين يمكنه تجاوز فحص الفيضانات، مما يؤدي إلى عدم تقدير النظام للعدد المطلوب من الرموز.
حقق المهاجم ربحًا يبلغ حوالي 2.3 مليون دولار، بما في ذلك SUI و vSUI و USDC وغيرها من الأصول. تم تحويل جزء من الأموال إلى عنوان EVM عبر جسر بين السلاسل، وتم إجراء عمليات تبادل الرموز وغيرها.
من الجدير بالذكر أن مؤسسة SUI قد نجحت في تجميد حوالي 162 مليون دولار من الأموال المسروقة.
أصدرت Cetus تصحيحًا، حيث تم إجراء تصحيح رئيسي على دالة checked_shlw:
تصحيح قناع الخطأ إلى العتبة الصحيحة
ضبط شروط الحكم
تأكد من القدرة على الكشف عن حالات الفائض المحتملة
نصائح الأمان
تسلط هذه الهجمة الضوء على خطورة ثغرات تجاوز العمليات الرياضية. يجب على المطورين التحقق بدقة من جميع شروط الحدود للدوال الرياضية أثناء تطوير العقود الذكية لمنع حدوث هجمات مماثلة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تعرض نظام SUI البيئي Cetus لهجوم بقيمة 230 مليون دولار، وقد أصدرت المشروع تصحيحًا.
مزود السيولة في نظام SUI البيئي Cetus يتعرض لهجوم كبير، وخسائره تتجاوز 2.3 مليار دولار
في 22 مايو، تعرض مزود السيولة Cetus في نظام SUI البيئي لهجوم، مما أدى إلى انخفاض كبير في عدة أزواج تجارية، ومن المتوقع أن تتجاوز قيمة الخسائر 230 مليون دولار. ثم أصدرت Cetus إعلانًا يفيد بأنها قد أوقفت العقد الذكي وأنها تحقق في هذا الحدث.
بعد تدخل فريق الأمن للتحليل، تم تقديم تحليل مفصل لأساليب الهجوم وحالة تحويل الأموال.
تحليل الهجوم
استغل المهاجمون الثغرات في النظام من خلال بناء معلمات بعناية لتنفيذ هجوم استبدال كميات صغيرة من الرموز مقابل سيولة ضخمة. الخطوات الرئيسية كالتالي:
من خلال اقتراض كمية كبيرة من haSUI عبر القرض الفوري، أدى ذلك إلى انهيار سعر الحوض بنسبة 99.90%.
فتح مراكز السيولة في نطاق سعري ضيق للغاية.
استغلال ثغرة الكشف عن الفائض في دالة get_delta_a، والإعلان عن إضافة سيولة ضخمة ولكن الدفع الفعلي هو 1 توكن فقط.
إزالة السيولة للحصول على عائدات ضخمة من الرموز.
إعادة قرض اللمعان، صافي الربح حوالي 1000万 haSUI و 570万 SUI.
أسباب الثغرات
تتمثل جوهر الهجوم في وجود عيب خطير في دالة checked_shlw. أي إدخال أقل من حد معين يمكنه تجاوز فحص الفيضانات، مما يؤدي إلى عدم تقدير النظام للعدد المطلوب من الرموز.
! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويل الأموال
تدفق الأموال
حقق المهاجم ربحًا يبلغ حوالي 2.3 مليون دولار، بما في ذلك SUI و vSUI و USDC وغيرها من الأصول. تم تحويل جزء من الأموال إلى عنوان EVM عبر جسر بين السلاسل، وتم إجراء عمليات تبادل الرموز وغيرها.
من الجدير بالذكر أن مؤسسة SUI قد نجحت في تجميد حوالي 162 مليون دولار من الأموال المسروقة.
! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويل الأموال
! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويل الأموال
! ضباب بطيء: 230 مليون دولار مسروقة من سيتوس ، تحليل طرق الهجوم وتحويلات الأموال
! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويل الأموال
إصلاح المشروع
أصدرت Cetus تصحيحًا، حيث تم إجراء تصحيح رئيسي على دالة checked_shlw:
نصائح الأمان
تسلط هذه الهجمة الضوء على خطورة ثغرات تجاوز العمليات الرياضية. يجب على المطورين التحقق بدقة من جميع شروط الحدود للدوال الرياضية أثناء تطوير العقود الذكية لمنع حدوث هجمات مماثلة.