SUI proveedor de liquidez del ecosistema Cetus sufre un ataque importante, con pérdidas de más de 230 millones de dólares
El 22 de mayo, el proveedor de liquidez en el ecosistema SUI, Cetus, fue atacado, y varios pares de trading experimentaron una caída significativa, con pérdidas estimadas en más de 230 millones de dólares. Cetus luego emitió un comunicado indicando que ha suspendido el contrato inteligente y está investigando este evento.
Después de que el equipo de seguridad intervino y analizó, se realizó un análisis detallado sobre los métodos de ataque y la situación de la transferencia de fondos.
Análisis de Ataques
Los atacantes, mediante la construcción cuidadosa de parámetros, aprovecharon las vulnerabilidades del sistema para llevar a cabo un ataque que les permitió intercambiar tokens mínimos por una gran cantidad de Liquidez. Los pasos principales son los siguientes:
A través de un préstamo relámpago se prestó una gran cantidad de haSUI, lo que provocó que el precio del fondo cayera un 99.90%.
Abrir posiciones de liquidez en un rango de precios muy estrecho.
Aprovechar la vulnerabilidad de detección de desbordamiento en la función get_delta_a, declarando agregar una gran cantidad de Liquidez pero pagando realmente solo 1 token.
Retirar liquidez para obtener enormes beneficios en tokens.
Devolver el préstamo relámpago, ganancia neta de aproximadamente 10 millones de haSUI y 5.7 millones de SUI.
Causa de la vulnerabilidad
El núcleo del ataque radica en la grave deficiencia de la función checked_shlw. Cualquier entrada inferior a un umbral específico puede eludir la detección de desbordamiento, lo que lleva al sistema a subestimar la cantidad de tokens requeridos.
Flujo de fondos
Los atacantes obtuvieron ganancias de aproximadamente 230 millones de dólares, incluyendo activos como SUI, vSUI y USDC. Parte de los fondos se transfirieron a direcciones EVM a través de un puente entre cadenas y se realizaron operaciones de intercambio de tokens.
Es importante señalar que la Fundación SUI ha logrado congelar aproximadamente 162 millones de dólares en fondos robados.
Reparación del proyecto
Cetus ha lanzado un parche de reparación, principalmente corrigiendo la función checked_shlw:
Corregir la máscara de error al valor umbral correcto
Ajustar las condiciones de juicio
Asegurarse de poder detectar correctamente posibles situaciones de desbordamiento
Sugerencias de seguridad
Este ataque destaca el peligro de las vulnerabilidades de desbordamiento matemático. Los desarrolladores deben verificar rigurosamente todas las condiciones de límite de las funciones matemáticas en el desarrollo de contratos inteligentes para prevenir ataques similares.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
23 me gusta
Recompensa
23
5
Republicar
Compartir
Comentar
0/400
ZkSnarker
· 07-28 13:53
Otra vez se ven contratos inteligentes con vulnerabilidades
El ecosistema SUI Cetus sufrió un ataque de 230 millones de dólares. El proyecto ha lanzado un parche de reparación.
SUI proveedor de liquidez del ecosistema Cetus sufre un ataque importante, con pérdidas de más de 230 millones de dólares
El 22 de mayo, el proveedor de liquidez en el ecosistema SUI, Cetus, fue atacado, y varios pares de trading experimentaron una caída significativa, con pérdidas estimadas en más de 230 millones de dólares. Cetus luego emitió un comunicado indicando que ha suspendido el contrato inteligente y está investigando este evento.
Después de que el equipo de seguridad intervino y analizó, se realizó un análisis detallado sobre los métodos de ataque y la situación de la transferencia de fondos.
Análisis de Ataques
Los atacantes, mediante la construcción cuidadosa de parámetros, aprovecharon las vulnerabilidades del sistema para llevar a cabo un ataque que les permitió intercambiar tokens mínimos por una gran cantidad de Liquidez. Los pasos principales son los siguientes:
A través de un préstamo relámpago se prestó una gran cantidad de haSUI, lo que provocó que el precio del fondo cayera un 99.90%.
Abrir posiciones de liquidez en un rango de precios muy estrecho.
Aprovechar la vulnerabilidad de detección de desbordamiento en la función get_delta_a, declarando agregar una gran cantidad de Liquidez pero pagando realmente solo 1 token.
Retirar liquidez para obtener enormes beneficios en tokens.
Devolver el préstamo relámpago, ganancia neta de aproximadamente 10 millones de haSUI y 5.7 millones de SUI.
Causa de la vulnerabilidad
El núcleo del ataque radica en la grave deficiencia de la función checked_shlw. Cualquier entrada inferior a un umbral específico puede eludir la detección de desbordamiento, lo que lleva al sistema a subestimar la cantidad de tokens requeridos.
Flujo de fondos
Los atacantes obtuvieron ganancias de aproximadamente 230 millones de dólares, incluyendo activos como SUI, vSUI y USDC. Parte de los fondos se transfirieron a direcciones EVM a través de un puente entre cadenas y se realizaron operaciones de intercambio de tokens.
Es importante señalar que la Fundación SUI ha logrado congelar aproximadamente 162 millones de dólares en fondos robados.
Reparación del proyecto
Cetus ha lanzado un parche de reparación, principalmente corrigiendo la función checked_shlw:
Sugerencias de seguridad
Este ataque destaca el peligro de las vulnerabilidades de desbordamiento matemático. Los desarrolladores deben verificar rigurosamente todas las condiciones de límite de las funciones matemáticas en el desarrollo de contratos inteligentes para prevenir ataques similares.