- Тема
37k Популярность
19k Популярность
62k Популярность
31k Популярность
4k Популярность
97k Популярность
29k Популярность
27k Популярность
7k Популярность
18k Популярность
- Закрепить
37k Популярность
19k Популярность
62k Популярность
31k Популярность
4k Популярность
97k Популярность
29k Популярность
27k Популярность
7k Популярность
18k Популярность
Cetus подвергся атаке, понес убытки в 230 миллионов долларов. Безопасность экосистемы SUI звучит тревожный сигнал.
Cetus подвергся атаке, убытки превысили 2,3 миллиарда долларов
22 мая поставщик ликвидности в экосистеме SUI, Cetus, предположительно, подвергся атаке, в результате чего несколько торговых пар значительно упали, глубина ликвидностного пула резко снизилась, ожидаемые убытки превышают 230 миллионов долларов. Затем Cetus опубликовал объявление о том, что приостановил смарт-контракты и проводит расследование по данному инциденту.
Команда безопасности провела глубокий анализ этой атаки, выявив конкретные методы злоумышленников.
Анализ атак
Злоумышленник, тщательно подбирая параметры, воспользовался уязвимостями системы для выполнения операции обмена малых токенов на огромную ликвидность. Конкретные шаги следующие:
Заимствование большого количества haSUI через кредитование на мгновение привело к падению цены в пуле на 99,90%.
Открытие ликвидной позиции в пределах очень узкого ценового диапазона, ширина диапазона составляет всего 1,00496621%.
Заявление о добавлении огромной ликвидности, но на самом деле оплачивается только 1 токен A. Это ключевой этап атаки, использующий уязвимость обхода проверки переполнения в функции get_delta_a.
В системе при расчете необходимого количества haSUI произошла серьезная ошибка, что привело к тому, что злоумышленнику требуется всего лишь немного Token для обмена на большое количество ликвидных активов.
В конце удалите ликвидность, получите огромные токеновые доходы и завершите атаку.
! Медленный туман: Цетус украл 230 миллионов долларов, анализ методов атаки и перевода средств
! Медленный туман: Цетус украл 230 миллионов долларов, анализ методов атаки и перевода средств
Исправление со стороны проекта
После атаки Cetus быстро выпустил исправляющий патч. Основные исправления касаются ошибочной маски и условий проверки в функции checked_shlw, что обеспечивает правильное обнаружение возможных ситуаций, которые могут привести к переполнению.
Анализ движения средств
Атакующие получили прибыль около 230 миллионов долларов, включая различные активы, такие как SUI, vSUI, USDC и другие. Часть средств была переведена на адреса EVM через кросс-чейн мост. Около 10 миллионов долларов в активов было внесено в Suilend, 24 миллиона SUI переведены на новый адрес и пока не выведены.
К счастью, Фонд SUI и другие заинтересованные стороны успешно заморозили похищенные средства на блокчейне SUI на сумму около 162 миллионов долларов.
На EVM-цепочке злоумышленник обменял часть средств на ETH и перевел 20,000 ETH на новый адрес. В настоящее время на этом адресе в сети Ethereum баланс составляет 3,244 ETH.
! Медленный туман: Цетус украл 230 миллионов долларов, анализ методов атаки и перевода средств
! Медленный туман: Цетус украл 230 миллионов долларов, анализ методов атаки и перевода средств
Резюме
Эта атака в полной мере продемонстрировала мощь уязвимости переполнения математики. Злоумышленники, используя точные расчеты и выбор параметров, смогли реализовать огромную прибыль за счет недостатков функций в смарт-контрактах. Это напоминает разработчикам о необходимости строго проверять все граничные условия математических функций при разработке контрактов, чтобы предотвратить подобные атаки.