Cetus diserang oleh kerentanan overflow matematika, kerugian lebih dari 2,3 miliar dolar
Pada 22 Mei, penyedia likuiditas Cetus di ekosistem SUI diduga telah diserang, kedalaman kolam likuiditas menurun drastis, dan beberapa pasangan perdagangan token mengalami penurunan, diperkirakan kerugian melebihi 230 juta dolar. Cetus kemudian mengeluarkan pengumuman bahwa mereka telah menghentikan kontrak pintar untuk sementara dan sedang melakukan penyelidikan terhadap kejadian tersebut.
Inti dari serangan ini adalah penyerang memanfaatkan celah matematis dalam sistem dengan merancang parameter secara cermat, bertukar jumlah token yang sangat kecil dengan aset likuiditas yang sangat besar. Proses serangan terutama mencakup langkah-langkah berikut:
Penyerang meminjam banyak haSUI melalui pinjaman kilat, menyebabkan harga kolam anjlok 99,90%.
Membuka posisi likuiditas dalam rentang harga yang sangat sempit, dengan lebar rentang hanya 1.00496621%.
Memanfaatkan kerentanan bypass deteksi overflow di checked_shlw dalam fungsi get_delta_a, menyatakan penambahan likuiditas besar, tetapi sebenarnya hanya membayar 1 token.
Menghapus likuiditas, mendapatkan sejumlah besar haSUI dan token SUI.
Penyerang berhasil mendapatkan keuntungan sekitar 230 juta dolar AS, termasuk berbagai aset seperti SUI, vSUI, dan USDC. Setelah serangan, sebagian dana dipindahkan melalui jembatan lintas rantai ke alamat EVM, termasuk sekitar 10 juta dolar AS yang disimpan di Suilend, dan 24.022.896 SUI dipindahkan ke alamat baru.
Untungnya, dengan kerjasama Yayasan SUI dan anggota ekosistem lainnya, saat ini telah berhasil membekukan dana yang dicuri sebesar 162 juta dolar AS di SUI.
Cetus telah merilis patch perbaikan, yang terutama memperbaiki kesalahan masker dan kondisi penilaian dalam fungsi checked_shlw, memastikan dapat mendeteksi situasi overflow dengan benar.
Serangan kali ini menyoroti bahaya kerentanan overflow matematis. Pengembang harus secara ketat memverifikasi semua kondisi batas fungsi matematis dalam pengembangan kontrak pintar untuk mencegah serangan serupa terjadi lagi.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
24 Suka
Hadiah
24
10
Bagikan
Komentar
0/400
MetaDreamer
· 8jam yang lalu
Lagi-lagi cara lama tim proyek mengambil jebakan
Lihat AsliBalas0
GweiWatcher
· 8jam yang lalu
Sekarang sui doomed
Lihat AsliBalas0
Lonely_Validator
· 10jam yang lalu
smart contract Selamanya menjadi titik nyeri
Lihat AsliBalas0
UncommonNPC
· 07-23 20:17
sui juga sudah hilang, gratis
Lihat AsliBalas0
GateUser-1a2ed0b9
· 07-22 13:32
Matematika sedang berjalan, siapa yang mengerti...
Lihat AsliBalas0
GateUser-aa7df71e
· 07-22 13:30
Lihat, saya benar, sui hanya rantai sampah
Lihat AsliBalas0
GateUser-c802f0e8
· 07-22 13:30
Menunggu tutorial Kupon Klip
Lihat AsliBalas0
ChainSpy
· 07-22 13:24
Wah, harus muncul di berita lagi.
Lihat AsliBalas0
ZeroRushCaptain
· 07-22 13:24
Sekali lagi, sebuah medan perang telah jatuh, pengingat panen suckers saya berfungsi.
Lihat AsliBalas0
MetaverseLandlord
· 07-22 13:19
Sekarang tim proyek sudah kehilangan celana mereka.
Cetus mengalami serangan overflow matematis dengan kerugian sebesar 230 juta USD, 162 juta USD telah dibekukan.
Cetus diserang oleh kerentanan overflow matematika, kerugian lebih dari 2,3 miliar dolar
Pada 22 Mei, penyedia likuiditas Cetus di ekosistem SUI diduga telah diserang, kedalaman kolam likuiditas menurun drastis, dan beberapa pasangan perdagangan token mengalami penurunan, diperkirakan kerugian melebihi 230 juta dolar. Cetus kemudian mengeluarkan pengumuman bahwa mereka telah menghentikan kontrak pintar untuk sementara dan sedang melakukan penyelidikan terhadap kejadian tersebut.
Inti dari serangan ini adalah penyerang memanfaatkan celah matematis dalam sistem dengan merancang parameter secara cermat, bertukar jumlah token yang sangat kecil dengan aset likuiditas yang sangat besar. Proses serangan terutama mencakup langkah-langkah berikut:
Penyerang meminjam banyak haSUI melalui pinjaman kilat, menyebabkan harga kolam anjlok 99,90%.
Membuka posisi likuiditas dalam rentang harga yang sangat sempit, dengan lebar rentang hanya 1.00496621%.
Memanfaatkan kerentanan bypass deteksi overflow di checked_shlw dalam fungsi get_delta_a, menyatakan penambahan likuiditas besar, tetapi sebenarnya hanya membayar 1 token.
Menghapus likuiditas, mendapatkan sejumlah besar haSUI dan token SUI.
Mengembalikan pinjaman kilat, menyelesaikan serangan.
Penyerang berhasil mendapatkan keuntungan sekitar 230 juta dolar AS, termasuk berbagai aset seperti SUI, vSUI, dan USDC. Setelah serangan, sebagian dana dipindahkan melalui jembatan lintas rantai ke alamat EVM, termasuk sekitar 10 juta dolar AS yang disimpan di Suilend, dan 24.022.896 SUI dipindahkan ke alamat baru.
Untungnya, dengan kerjasama Yayasan SUI dan anggota ekosistem lainnya, saat ini telah berhasil membekukan dana yang dicuri sebesar 162 juta dolar AS di SUI.
Cetus telah merilis patch perbaikan, yang terutama memperbaiki kesalahan masker dan kondisi penilaian dalam fungsi checked_shlw, memastikan dapat mendeteksi situasi overflow dengan benar.
Serangan kali ini menyoroti bahaya kerentanan overflow matematis. Pengembang harus secara ketat memverifikasi semua kondisi batas fungsi matematis dalam pengembangan kontrak pintar untuk mencegah serangan serupa terjadi lagi.