# Cetusは数学の波及効果に見舞われ、2億3000万ドル以上の損失を被った5月22日、SUIエコシステムの流動性プロバイダーであるCetusが攻撃を受けた疑いがあり、流動性プールの深さが大幅に減少し、複数のトークン取引ペアが下落しました。推定損失額は2.3億ドルを超えています。その後、Cetusは発表を行い、スマートコントラクトを一時停止し、事件の調査を行っていると述べました。今回の攻撃の核心は、攻撃者が巧妙に構築したパラメータを通じて、システム内の数学的オーバーフローの脆弱性を利用し、ごく少量のトークンで巨額の流動性資産を獲得することです。攻撃プロセスは主に以下のステップを含みます:1. 攻撃者がフラッシュローンを通じて大量の haSUI を借り出し、プールの価格が99.90%暴落しました。2. 非常に狭い価格範囲で流動性ポジションを開く、その範囲の幅はわずか1.00496621%です。3. get_delta_a 関数内の checked_shlw のオーバーフロー検出のバイパス脆弱性を利用して、大量の流動性を宣言するが、実際には 1 トークンのみを支払った。4. 流動性を除去し、大量の haSUI と SUI トークンを獲得します。5. フラッシュローンを返済し、攻撃を完了する。! [スローミスト:2億3000万ドルを盗まれたCetus、攻撃方法と資金移動の分析](https://img-cdn.gateio.im/social/moments-b864e3fd8969d3721e1def4ecad38302)攻撃者は約2.3億ドルの利益を得ており、SUI、vSUI、USDCなどのさまざまな資産が含まれています。攻撃後、一部の資金はクロスチェーンブリッジを通じてEVMアドレスに移動され、その中には約1,000万ドルがSuilendに預け入れられ、24,022,896 SUIが新しいアドレスに送金されました。! [スローミスト:2億3000万ドルを盗まれたCetus、攻撃方法と資金移動の分析](https://img-cdn.gateio.im/social/moments-6f9b9ecf70c0ac7a8b4ef29141a54dcc)幸運なことに、SUI財団と他のエコシステムメンバーの協力により、現在、SUI上で盗まれた1.62億ドルの資金が無事に凍結されました。Cetusは修正パッチをリリースしました。主にchecked_shlw関数のエラーマスクと判断条件を修正し、オーバーフローの状況を正しく検出できるようにしました。! [スローミスト:2億3000万ドルを盗まれたCetus、攻撃方法と資金移動の分析](https://img-cdn.gateio.im/social/moments-0f0d0ade452974cff85889ba2df362dc)今回の攻撃は、数学的オーバーフローの脆弱性の危険性を浮き彫りにしました。開発者は、スマートコントラクトの開発において、すべての数学関数の境界条件を厳密に検証し、類似の攻撃が再発しないようにするべきです。! [スローミスト:2億3000万ドルを盗まれたCetus、攻撃方法と資金移動の分析](https://img-cdn.gateio.im/social/moments-5a2fbbb863b9f01ba88a926cf48365e9)
Cetusが数学的オーバーフロー攻撃を受け、2.3億ドルの損失。1.62億ドルが凍結されました。
Cetusは数学の波及効果に見舞われ、2億3000万ドル以上の損失を被った
5月22日、SUIエコシステムの流動性プロバイダーであるCetusが攻撃を受けた疑いがあり、流動性プールの深さが大幅に減少し、複数のトークン取引ペアが下落しました。推定損失額は2.3億ドルを超えています。その後、Cetusは発表を行い、スマートコントラクトを一時停止し、事件の調査を行っていると述べました。
今回の攻撃の核心は、攻撃者が巧妙に構築したパラメータを通じて、システム内の数学的オーバーフローの脆弱性を利用し、ごく少量のトークンで巨額の流動性資産を獲得することです。攻撃プロセスは主に以下のステップを含みます:
攻撃者がフラッシュローンを通じて大量の haSUI を借り出し、プールの価格が99.90%暴落しました。
非常に狭い価格範囲で流動性ポジションを開く、その範囲の幅はわずか1.00496621%です。
get_delta_a 関数内の checked_shlw のオーバーフロー検出のバイパス脆弱性を利用して、大量の流動性を宣言するが、実際には 1 トークンのみを支払った。
流動性を除去し、大量の haSUI と SUI トークンを獲得します。
フラッシュローンを返済し、攻撃を完了する。
! スローミスト:2億3000万ドルを盗まれたCetus、攻撃方法と資金移動の分析
攻撃者は約2.3億ドルの利益を得ており、SUI、vSUI、USDCなどのさまざまな資産が含まれています。攻撃後、一部の資金はクロスチェーンブリッジを通じてEVMアドレスに移動され、その中には約1,000万ドルがSuilendに預け入れられ、24,022,896 SUIが新しいアドレスに送金されました。
! スローミスト:2億3000万ドルを盗まれたCetus、攻撃方法と資金移動の分析
幸運なことに、SUI財団と他のエコシステムメンバーの協力により、現在、SUI上で盗まれた1.62億ドルの資金が無事に凍結されました。
Cetusは修正パッチをリリースしました。主にchecked_shlw関数のエラーマスクと判断条件を修正し、オーバーフローの状況を正しく検出できるようにしました。
! スローミスト:2億3000万ドルを盗まれたCetus、攻撃方法と資金移動の分析
今回の攻撃は、数学的オーバーフローの脆弱性の危険性を浮き彫りにしました。開発者は、スマートコントラクトの開発において、すべての数学関数の境界条件を厳密に検証し、類似の攻撃が再発しないようにするべきです。
! スローミスト:2億3000万ドルを盗まれたCetus、攻撃方法と資金移動の分析