Cetus sofre ataque de vulnerabilidade de estouro matemático, com perdas superiores a 230 milhões de dólares
No dia 22 de maio, o provedor de liquidez Cetus na ecologia SUI foi supostamente atacado, resultando em uma grande queda na profundidade do pool de liquidez e vários pares de tokens apresentando queda, com uma estimativa de perda superior a 230 milhões de dólares. Cetus posteriormente emitiu um comunicado afirmando que suspendeu temporariamente o contrato inteligente e está investigando o incidente.
O núcleo deste ataque é que os atacantes, através da construção cuidadosa de parâmetros, exploram uma vulnerabilidade de transbordamento matemático no sistema para trocar uma quantidade muito pequena de tokens por um enorme ativo de liquidez. O processo de ataque consiste principalmente nos seguintes passos:
O atacante tomou emprestado uma grande quantidade de haSUI através de um empréstimo relâmpago, fazendo com que o preço do pool despencasse 99,90%.
Abrir posições de liquidez em uma faixa de preço extremamente estreita, com uma largura de faixa de apenas 1.00496621%.
Aproveitar a vulnerabilidade de bypass na detecção de overflow de checked_shlw na função get_delta_a, declarando a adição de uma enorme liquidez, mas pagando realmente apenas 1 token.
Remover liquidez para obter uma grande quantidade de haSUI e SUI tokens.
Devolver o empréstimo relâmpago, completar o ataque.
Os atacantes conseguiram lucrar cerca de 230 milhões de dólares, incluindo SUI, vSUI, USDC e vários outros ativos. Após o ataque, parte dos fundos foi transferida para endereços EVM através de pontes cross-chain, incluindo cerca de 10 milhões de dólares depositados no Suilend e 24.022.896 SUI transferidos para um novo endereço.
Felizmente, com a colaboração da Fundação SUI e de outros membros do ecossistema, foram congelados com sucesso 162 milhões de dólares em fundos roubados na SUI.
Cetus lançou um patch de correção, que corrige principalmente a máscara de erro e as condições de verificação na função checked_shlw, garantindo a detecção correta de situações de overflow.
Este ataque destacou a perigosidade das vulnerabilidades de estouro matemático. Os desenvolvedores devem verificar rigorosamente todas as condições de limite das funções matemáticas durante o desenvolvimento de contratos inteligentes, para evitar que ataques semelhantes ocorram novamente.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
17 Curtidas
Recompensa
17
6
Compartilhar
Comentário
0/400
GateUser-1a2ed0b9
· 9h atrás
Matemática aberta, quem entende isso...
Ver originalResponder0
GateUser-aa7df71e
· 9h atrás
Vê, eu tinha razão, sui é uma cadeia de lixo.
Ver originalResponder0
GateUser-c802f0e8
· 9h atrás
Aguardar o tutorial de Cupões de Recorte
Ver originalResponder0
ChainSpy
· 9h atrás
Ai, lá vamos nós novamente para as notícias.
Ver originalResponder0
ZeroRushCaptain
· 9h atrás
Outra batalha caiu, o meu lembrete para fazer as pessoas de parvas está a funcionar.
Cetus sofreu um ataque de estouro matemático, com perdas de 230 milhões de dólares, 162 milhões já foram congelados.
Cetus sofre ataque de vulnerabilidade de estouro matemático, com perdas superiores a 230 milhões de dólares
No dia 22 de maio, o provedor de liquidez Cetus na ecologia SUI foi supostamente atacado, resultando em uma grande queda na profundidade do pool de liquidez e vários pares de tokens apresentando queda, com uma estimativa de perda superior a 230 milhões de dólares. Cetus posteriormente emitiu um comunicado afirmando que suspendeu temporariamente o contrato inteligente e está investigando o incidente.
O núcleo deste ataque é que os atacantes, através da construção cuidadosa de parâmetros, exploram uma vulnerabilidade de transbordamento matemático no sistema para trocar uma quantidade muito pequena de tokens por um enorme ativo de liquidez. O processo de ataque consiste principalmente nos seguintes passos:
O atacante tomou emprestado uma grande quantidade de haSUI através de um empréstimo relâmpago, fazendo com que o preço do pool despencasse 99,90%.
Abrir posições de liquidez em uma faixa de preço extremamente estreita, com uma largura de faixa de apenas 1.00496621%.
Aproveitar a vulnerabilidade de bypass na detecção de overflow de checked_shlw na função get_delta_a, declarando a adição de uma enorme liquidez, mas pagando realmente apenas 1 token.
Remover liquidez para obter uma grande quantidade de haSUI e SUI tokens.
Devolver o empréstimo relâmpago, completar o ataque.
Os atacantes conseguiram lucrar cerca de 230 milhões de dólares, incluindo SUI, vSUI, USDC e vários outros ativos. Após o ataque, parte dos fundos foi transferida para endereços EVM através de pontes cross-chain, incluindo cerca de 10 milhões de dólares depositados no Suilend e 24.022.896 SUI transferidos para um novo endereço.
Felizmente, com a colaboração da Fundação SUI e de outros membros do ecossistema, foram congelados com sucesso 162 milhões de dólares em fundos roubados na SUI.
Cetus lançou um patch de correção, que corrige principalmente a máscara de erro e as condições de verificação na função checked_shlw, garantindo a detecção correta de situações de overflow.
Este ataque destacou a perigosidade das vulnerabilidades de estouro matemático. Os desenvolvedores devem verificar rigorosamente todas as condições de limite das funções matemáticas durante o desenvolvimento de contratos inteligentes, para evitar que ataques semelhantes ocorram novamente.