تعرضت Cetus لهجوم بقيمة 230 مليون دولار، مما أدى إلى خسائر كبيرة في الأصول بسبب ثغرة تجاوز.

2025-07-24 05:46:57

إنشاء الملخص قيد التقدم

تعرضت Cetus لهجوم بقيمة 230 مليون دولار، تفاصيل أسلوب الهجوم وتدفق الأموال

في 22 مايو، يبدو أن مزود السيولة في نظام SUI البيئي، Cetus، قد تعرض لهجوم، حيث انخفض عمق حوض السيولة بشكل كبير، وظهرت انخفاضات في العديد من أزواج التداول، ومن المتوقع أن تتجاوز الخسائر 230 مليون دولار. ثم أصدرت Cetus إعلانًا بأنهم قد علقوا العقود الذكية، وهم يحققون في الحادث.

تدخل فريق أمان مانغو في أسرع وقت لتحليل ونشر تنبيه أمني. فيما يلي تحليل مفصل لأساليب الهجوم وحالة تحويل الأموال.

تحليل الهجوم

المهاجمون يستغلون ثغرات التجاوز من خلال بناء معلمات بعناية لتجاوز الكشف، ويستبدلون مبلغ صغير جدًا من الرموز مقابل أصول سيولة ضخمة. الخطوات المحددة هي كما يلي:

المهاجم اقترض 10,024,321.28 haSUI من خلال قرض فوري، مما أدى إلى انهيار سعر المسبح بنسبة 99.90%.
اختار المهاجم نطاق سعر ضيق للغاية لفتح مركز سيولة، حيث أن عرض النطاق لا يتجاوز 1.00496621%.
جوهر الهجوم: يعلن المهاجم عن إضافة سيولة ضخمة، لكن النظام في الواقع قد حصل فقط على 1 من الرمز A. وذلك بسبب وجود ثغرة تجاوز فحص في دالة get_delta_a.
المهاجم يزيل السيولة ويحصل على عائدات ضخمة من الرموز:
- الإزالة الأولى: 10,024,321.28 من haSUI
- الإزالة الثانية: 1 haSUI
- الإزالة الثالثة: 10,024,321.28 من haSUI
أعاد المهاجم قرض الوميض، وحقق ربحاً صافياً يقارب 10,024,321.28 من haSUI و 5,765,124.79 من SUI.

حالة إصلاح مشروع

أصدرت Cetus تصحيحًا، يركز بشكل أساسي على تصحيح تنفيذ دالة checked_shlw:

تصحيح القناع الخاطئ إلى العتبة الصحيحة
تصحيح شروط الحكم
تأكد من القدرة على الكشف عن علامة التدفق وإرجاعها بشكل صحيح

تحليل تدفق الأموال

حقق المهاجمون أرباحًا تقارب 2.3 مليار دولار أمريكي، بما في ذلك أصول مثل SUI و vSUI و USDC. تم تحويل جزء من الأموال إلى عنوان EVM عبر جسر متعدد السلاسل.

تم إيداع أصول بقيمة حوالي 10 مليون دولار في Suilend
24,022,896 SUI تم تحويلها إلى عنوان جديد، ولم يتم التحويل بعد
Cetus أعلنت أنها نجحت في تجميد 162 مليون دولار من الأموال المسروقة على SUI

! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويل الأموال

تدفق الأموال إلى عنوان EVM:

تم استلام 5.2319 BNB على BSC، ولم يتم تحويلها بعد
استلام USDT و USDC و SOL و ETH على Ethereum
بعض الأصول تم تداولها عبر DEX إلى ETH
20,000 ETH تم تحويلها إلى عنوان جديد، ولم يتم تحويلها بعد
الرصيد الحالي لإيثريوم هو 3,244 إيث

! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويل الأموال

ملخص

أظهرت هذه الهجمة قوة ثغرة تدفق الرياضيات. استغل المهاجمون عيب دالة checked_shlw من خلال حساب دقيق، مما سمح لهم بالحصول على سيولة ضخمة بتكلفة رمز واحد. كانت هذه هجمة رياضية دقيقة، تذكر المطورين بضرورة التحقق بدقة من جميع شروط الحدود لجميع دوال الرياضيات أثناء تطوير العقود الذكية.

! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويل الأموال

CETUS-3.71%

شاهد النسخة الأصلية

قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.

تسجيلات الإعجاب 13

أعجبني
13
6
مشاركة

تعليق

0/400

DefiPlaybook

· 07-26 10:55

ليس هذه هي المرة الأولى التي يتم فيها اقتطاف القسائم، انظر إلى الماعز.

شاهد النسخة الأصليةرد0

MetaEggplant

· 07-25 21:55

مرة أخرى، هي مسؤولة العقود الذكية

شاهد النسخة الأصليةرد0

DuckFluff

· 07-24 06:17

لقد رأيت مرة أخرى خبير الصفقات الرابحة

شاهد النسخة الأصليةرد0

quietly_staking

· 07-24 06:15

لقد خسرت بشكل كبير في هذه الموجة

شاهد النسخة الأصليةرد0

AirdropHunter007

· 07-24 06:07

又有小可爱被خداع الناس لتحقيق الربح了哦

شاهد النسخة الأصليةرد0

AirdropHunter420

· 07-24 06:05

العقود الذكية审计全睡觉去了?

شاهد النسخة الأصليةرد0

الموضوع
1/3
1Gate ETH Staking APY 5%
7k درجة الشعبية
2Show My Alpha Points
27k درجة الشعبية
3SOL Futures Reach New High
10k درجة الشعبية
4ETH ETF Sees 12 Weeks of Inflows
5k درجة الشعبية
5Crypto Market Rebound
173k درجة الشعبية

تثبيت

خريطة الموقع