Cetus sufre un ataque de 230 millones de dólares, detalles sobre la técnica del ataque y el flujo de fondos
El 22 de mayo, el proveedor de liquidez del ecosistema SUI, Cetus, sospecha haber sido atacado, la profundidad del fondo de liquidez ha disminuido drásticamente, y varios pares de negociación han caído, se estima que la pérdida supera los 230 millones de dólares. Cetus luego emitió un anuncio diciendo que había suspendido el contrato inteligente y está investigando el evento.
El equipo de seguridad de Slow Mist intervino de inmediato para analizar y publicar un aviso de seguridad. A continuación se presenta un análisis detallado de las técnicas de ataque y la situación de la transferencia de fondos.
Análisis de ataques
Los atacantes eluden la detección mediante la explotación de vulnerabilidades de desbordamiento al construir parámetros cuidadosamente y cambian cantidades mínimas de tokens por grandes activos de liquidez. Los pasos específicos son los siguientes:
El atacante tomó prestados 10,024,321.28 haSUI a través de un préstamo relámpago, lo que provocó una caída del 99.90% en el precio del fondo.
El atacante eligió un rango de precios extremadamente estrecho para abrir una posición de liquidez, con un ancho de rango de solo 1.00496621%.
Núcleo del ataque: el atacante declara agregar una gran cantidad de liquidez, pero el sistema en realidad solo recibió 1 token A. Esto se debe a una vulnerabilidad de omisión de detección de desbordamiento en checked_shlw dentro de la función get_delta_a.
El atacante retira liquidez y obtiene grandes beneficios en tokens:
Primera eliminación: 10,024,321.28 haSUI
Segunda eliminación: 1 haSUI
Tercera eliminación: 10,024,321.28 haSUI
El atacante devuelve el préstamo flash, obteniendo una ganancia neta de aproximadamente 10,024,321.28 haSUI y 5,765,124.79 SUI.
Situación de la reparación del proyecto
Cetus ha lanzado un parche de corrección, que corrige principalmente la implementación de la función checked_shlw:
Corrija la máscara incorrecta al umbral correcto
Corregir la condición de juicio
Asegúrese de poder detectar y devolver correctamente la bandera de desbordamiento
Análisis de flujo de fondos
Los atacantes obtuvieron alrededor de 230 millones de dólares, incluyendo varios activos como SUI, vSUI, USDC, entre otros. Parte de los fondos se transfirieron a direcciones EVM a través de un puente entre cadenas.
Se depositaron activos por valor de aproximadamente 10 millones de dólares en Suilend
24,022,896 SUI transferido a nueva dirección, aún no transferido.
Cetus ha declarado que ha congelado con éxito fondos robados por valor de 162 millones de dólares en SUI.
Flujo de fondos en direcciones EVM:
Se recibieron 5.2319 BNB en BSC, aún no se han transferido.
Recibir USDT, USDC, SOL y ETH en Ethereum
Algunos activos se intercambian por ETH a través de DEX
20,000 ETH transferidos a una nueva dirección, aún no transferidos.
El saldo actual de Ethereum es de 3,244 ETH
Resumen
Este ataque demuestra el poder de la vulnerabilidad de desbordamiento matemático. El atacante, mediante cálculos precisos, aprovechó el defecto de la función checked_shlw para obtener una gran liquidez a un costo de 1 token. Este es un ataque matemático preciso que recuerda a los desarrolladores la necesidad de verificar estrictamente todas las condiciones de borde de las funciones matemáticas en el desarrollo de contratos inteligentes.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
13 me gusta
Recompensa
13
6
Compartir
Comentar
0/400
DefiPlaybook
· 07-26 10:55
No es la primera vez que me dan cupones de clip, ya estoy acostumbrado.
Ver originalesResponder0
MetaEggplant
· 07-25 21:55
Otra vez la culpa es de los contratos inteligentes
Ver originalesResponder0
DuckFluff
· 07-24 06:17
De nuevo vemos a un experto en cazar gangas.
Ver originalesResponder0
quietly_staking
· 07-24 06:15
Esta pérdida fue enorme.
Ver originalesResponder0
AirdropHunter007
· 07-24 06:07
Otra pequeña adorable ha sido tomada a la gente por tonta.
Ver originalesResponder0
AirdropHunter420
· 07-24 06:05
¿Los contratos inteligentes se han ido a dormir por completo?
Cetus sufrió un ataque de 230 millones de dólares, una vulnerabilidad de desbordamiento causó pérdidas significativas de activos.
Cetus sufre un ataque de 230 millones de dólares, detalles sobre la técnica del ataque y el flujo de fondos
El 22 de mayo, el proveedor de liquidez del ecosistema SUI, Cetus, sospecha haber sido atacado, la profundidad del fondo de liquidez ha disminuido drásticamente, y varios pares de negociación han caído, se estima que la pérdida supera los 230 millones de dólares. Cetus luego emitió un anuncio diciendo que había suspendido el contrato inteligente y está investigando el evento.
El equipo de seguridad de Slow Mist intervino de inmediato para analizar y publicar un aviso de seguridad. A continuación se presenta un análisis detallado de las técnicas de ataque y la situación de la transferencia de fondos.
Análisis de ataques
Los atacantes eluden la detección mediante la explotación de vulnerabilidades de desbordamiento al construir parámetros cuidadosamente y cambian cantidades mínimas de tokens por grandes activos de liquidez. Los pasos específicos son los siguientes:
El atacante tomó prestados 10,024,321.28 haSUI a través de un préstamo relámpago, lo que provocó una caída del 99.90% en el precio del fondo.
El atacante eligió un rango de precios extremadamente estrecho para abrir una posición de liquidez, con un ancho de rango de solo 1.00496621%.
Núcleo del ataque: el atacante declara agregar una gran cantidad de liquidez, pero el sistema en realidad solo recibió 1 token A. Esto se debe a una vulnerabilidad de omisión de detección de desbordamiento en checked_shlw dentro de la función get_delta_a.
El atacante retira liquidez y obtiene grandes beneficios en tokens:
El atacante devuelve el préstamo flash, obteniendo una ganancia neta de aproximadamente 10,024,321.28 haSUI y 5,765,124.79 SUI.
Situación de la reparación del proyecto
Cetus ha lanzado un parche de corrección, que corrige principalmente la implementación de la función checked_shlw:
Análisis de flujo de fondos
Los atacantes obtuvieron alrededor de 230 millones de dólares, incluyendo varios activos como SUI, vSUI, USDC, entre otros. Parte de los fondos se transfirieron a direcciones EVM a través de un puente entre cadenas.
Flujo de fondos en direcciones EVM:
Resumen
Este ataque demuestra el poder de la vulnerabilidad de desbordamiento matemático. El atacante, mediante cálculos precisos, aprovechó el defecto de la función checked_shlw para obtener una gran liquidez a un costo de 1 token. Este es un ataque matemático preciso que recuerda a los desarrolladores la necesidad de verificar estrictamente todas las condiciones de borde de las funciones matemáticas en el desarrollo de contratos inteligentes.