SUI Ecossistema Liquidez fornecedor Cetus sofreu um ataque significativo, com perdas superiores a 2,3 milhões de dólares.
No dia 22 de maio, o provedor de liquidez Cetus no ecossistema SUI foi atacado, resultando em uma forte queda em vários pares de negociação, com perdas estimadas em mais de 230 milhões de dólares. Cetus posteriormente emitiu um comunicado informando que suspendeu o contrato inteligente e está investigando o incidente.
Após a intervenção da equipe de segurança para análise, foi realizada uma análise detalhada sobre os métodos de ataque e a situação da transferência de fundos.
Análise de Ataque
O atacante explorou uma vulnerabilidade do sistema ao construir cuidadosamente os parâmetros, realizando um ataque que trocou um pequeno token por uma enorme liquidez. Os principais passos são os seguintes:
Ao emprestar grandes quantidades de haSUI através de um empréstimo relâmpago, o preço do pool caiu 99,90%.
Abrir posições de liquidez em uma faixa de preço muito estreita.
Aproveitar a vulnerabilidade de deteção de estouro na função get_delta_a, declarando a adição de uma grande quantidade de liquidez, mas pagando na verdade apenas 1 token.
Remover liquidez para obter enormes ganhos em tokens.
Devolver o empréstimo relâmpago, lucro líquido de cerca de 10 milhões haSUI e 5,7 milhões SUI.
Causa da vulnerabilidade
O núcleo do ataque reside na grave falha da função checked_shlw. Qualquer entrada inferior a um determinado limiar pode contornar a detecção de estouro, levando o sistema a subestimar a quantidade de tokens necessária.
Fluxo de Capital
Os atacantes lucraram cerca de 230 milhões de dólares, incluindo SUI, vSUI, USDC e diversos outros ativos. Parte dos fundos foi transferida para endereços EVM através de pontes entre cadeias e foram realizadas operações de troca de tokens.
É importante notar que a Fundação SUI conseguiu congelar cerca de 162 milhões de dólares em fundos roubados.
Correção de Projeto
Cetus lançou um patch de correção, que se concentra principalmente na correção da função checked_shlw:
Corrigir a máscara de erro para o valor de limiar correto
Ajustar as condições de julgamento
Certifique-se de que consegue detetar corretamente possíveis situações de overflow
Sugestões de Segurança
Este ataque destaca o perigo das vulnerabilidades de estouro matemático. Os desenvolvedores devem validar rigorosamente todas as condições de limite das funções matemáticas no desenvolvimento de contratos inteligentes para prevenir a ocorrência de ataques semelhantes.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
23 gostos
Recompensa
23
5
Republicar
Partilhar
Comentar
0/400
ZkSnarker
· 07-28 13:53
Novamente, vulnerabilidades em contratos inteligentes
O ecossistema SUI Cetus sofreu um ataque de 230 milhões de dólares, o projeto já lançou um patch de correção.
SUI Ecossistema Liquidez fornecedor Cetus sofreu um ataque significativo, com perdas superiores a 2,3 milhões de dólares.
No dia 22 de maio, o provedor de liquidez Cetus no ecossistema SUI foi atacado, resultando em uma forte queda em vários pares de negociação, com perdas estimadas em mais de 230 milhões de dólares. Cetus posteriormente emitiu um comunicado informando que suspendeu o contrato inteligente e está investigando o incidente.
Após a intervenção da equipe de segurança para análise, foi realizada uma análise detalhada sobre os métodos de ataque e a situação da transferência de fundos.
Análise de Ataque
O atacante explorou uma vulnerabilidade do sistema ao construir cuidadosamente os parâmetros, realizando um ataque que trocou um pequeno token por uma enorme liquidez. Os principais passos são os seguintes:
Ao emprestar grandes quantidades de haSUI através de um empréstimo relâmpago, o preço do pool caiu 99,90%.
Abrir posições de liquidez em uma faixa de preço muito estreita.
Aproveitar a vulnerabilidade de deteção de estouro na função get_delta_a, declarando a adição de uma grande quantidade de liquidez, mas pagando na verdade apenas 1 token.
Remover liquidez para obter enormes ganhos em tokens.
Devolver o empréstimo relâmpago, lucro líquido de cerca de 10 milhões haSUI e 5,7 milhões SUI.
Causa da vulnerabilidade
O núcleo do ataque reside na grave falha da função checked_shlw. Qualquer entrada inferior a um determinado limiar pode contornar a detecção de estouro, levando o sistema a subestimar a quantidade de tokens necessária.
Fluxo de Capital
Os atacantes lucraram cerca de 230 milhões de dólares, incluindo SUI, vSUI, USDC e diversos outros ativos. Parte dos fundos foi transferida para endereços EVM através de pontes entre cadeias e foram realizadas operações de troca de tokens.
É importante notar que a Fundação SUI conseguiu congelar cerca de 162 milhões de dólares em fundos roubados.
Correção de Projeto
Cetus lançou um patch de correção, que se concentra principalmente na correção da função checked_shlw:
Sugestões de Segurança
Este ataque destaca o perigo das vulnerabilidades de estouro matemático. Os desenvolvedores devem validar rigorosamente todas as condições de limite das funções matemáticas no desenvolvimento de contratos inteligentes para prevenir a ocorrência de ataques semelhantes.