Penyedia Likuiditas Ekosistem SUI Cetus Mengalami Serangan Besar, Kerugian Melebihi 2,3 Miliar Dolar
Pada 22 Mei, penyedia likuiditas Cetus di ekosistem SUI diserang, menyebabkan penurunan besar pada beberapa pasangan perdagangan, diperkirakan kerugian melebihi 230 juta dolar. Cetus kemudian mengeluarkan pengumuman bahwa mereka telah menghentikan kontrak pintar dan sedang menyelidiki kejadian ini.
Setelah tim keamanan terlibat dalam analisis, mereka melakukan analisis mendetail terhadap metode serangan dan situasi transfer dana.
Analisis Serangan
Penyerang berhasil melakukan serangan untuk mendapatkan likuiditas besar dengan menukar token kecil dengan memanfaatkan kerentanan sistem melalui parameter yang dibangun dengan cermat. Langkah-langkah utama adalah sebagai berikut:
Meminjam sejumlah besar haSUI melalui pinjaman kilat, menyebabkan harga kolam jatuh 99,90%.
Membuka posisi likuiditas di rentang harga yang sangat sempit.
Memanfaatkan celah deteksi overflow dalam fungsi get_delta_a, menyatakan penambahan likuiditas besar tetapi sebenarnya hanya membayar 1 token.
Menghapus likuiditas untuk mendapatkan keuntungan token yang besar.
Mengembalikan pinjaman kilat, keuntungan bersih sekitar 10 juta haSUI dan 5,7 juta SUI.
Alasan Kerentanan
Inti serangan terletak pada adanya cacat serius pada fungsi checked_shlw. Input yang lebih kecil dari ambang batas tertentu dapat melewati deteksi overflow, mengakibatkan sistem meremehkan jumlah token yang diperlukan.
Arah Aliran Dana
Penyerang mendapatkan keuntungan sekitar 2,3 juta dolar AS, termasuk SUI, vSUI, USDC, dan berbagai aset lainnya. Sebagian dana dipindahkan melalui jembatan lintas rantai ke alamat EVM, dan dilakukan pertukaran token dan operasi lainnya.
Perlu dicatat bahwa Yayasan SUI telah berhasil membekukan sekitar 162 juta dolar AS dari dana yang dicuri.
Perbaikan Proyek
Cetus telah merilis patch perbaikan, yang terutama memperbaiki fungsi checked_shlw:
Memperbaiki masker kesalahan menjadi ambang yang benar
Sesuaikan kondisi penilaian
Pastikan dapat mendeteksi kemungkinan keadaan overflow dengan benar
Saran Keamanan
Serangan ini menyoroti bahaya dari kerentanan overflow matematis. Pengembang harus secara ketat memverifikasi semua kondisi batas dari fungsi matematis dalam pengembangan kontrak pintar untuk mencegah terjadinya serangan serupa.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Ekosistem SUI Cetus diserang sebesar 230 juta dolar, proyek telah merilis tambalan perbaikan.
Penyedia Likuiditas Ekosistem SUI Cetus Mengalami Serangan Besar, Kerugian Melebihi 2,3 Miliar Dolar
Pada 22 Mei, penyedia likuiditas Cetus di ekosistem SUI diserang, menyebabkan penurunan besar pada beberapa pasangan perdagangan, diperkirakan kerugian melebihi 230 juta dolar. Cetus kemudian mengeluarkan pengumuman bahwa mereka telah menghentikan kontrak pintar dan sedang menyelidiki kejadian ini.
Setelah tim keamanan terlibat dalam analisis, mereka melakukan analisis mendetail terhadap metode serangan dan situasi transfer dana.
Analisis Serangan
Penyerang berhasil melakukan serangan untuk mendapatkan likuiditas besar dengan menukar token kecil dengan memanfaatkan kerentanan sistem melalui parameter yang dibangun dengan cermat. Langkah-langkah utama adalah sebagai berikut:
Meminjam sejumlah besar haSUI melalui pinjaman kilat, menyebabkan harga kolam jatuh 99,90%.
Membuka posisi likuiditas di rentang harga yang sangat sempit.
Memanfaatkan celah deteksi overflow dalam fungsi get_delta_a, menyatakan penambahan likuiditas besar tetapi sebenarnya hanya membayar 1 token.
Menghapus likuiditas untuk mendapatkan keuntungan token yang besar.
Mengembalikan pinjaman kilat, keuntungan bersih sekitar 10 juta haSUI dan 5,7 juta SUI.
Alasan Kerentanan
Inti serangan terletak pada adanya cacat serius pada fungsi checked_shlw. Input yang lebih kecil dari ambang batas tertentu dapat melewati deteksi overflow, mengakibatkan sistem meremehkan jumlah token yang diperlukan.
Arah Aliran Dana
Penyerang mendapatkan keuntungan sekitar 2,3 juta dolar AS, termasuk SUI, vSUI, USDC, dan berbagai aset lainnya. Sebagian dana dipindahkan melalui jembatan lintas rantai ke alamat EVM, dan dilakukan pertukaran token dan operasi lainnya.
Perlu dicatat bahwa Yayasan SUI telah berhasil membekukan sekitar 162 juta dolar AS dari dana yang dicuri.
Perbaikan Proyek
Cetus telah merilis patch perbaikan, yang terutama memperbaiki fungsi checked_shlw:
Saran Keamanan
Serangan ini menyoroti bahaya dari kerentanan overflow matematis. Pengembang harus secara ketat memverifikasi semua kondisi batas dari fungsi matematis dalam pengembangan kontrak pintar untuk mencegah terjadinya serangan serupa.