Cetus, 2.3 milyar dolarlık bir saldırıya uğradı. Taşma açığı, önemli varlık kaybına neden oldu.

robot
Abstract generation in progress

Cetus 2.3 milyar dolarlık bir saldırıya uğradı, saldırı yöntemi ve fon akışının ayrıntıları

22 Mayıs'ta, SUI ekosistem likidite sağlayıcısı Cetus'un saldırıya uğradığı iddia edildi, likidite havuzunun derinliği önemli ölçüde düştü, birçok işlem çiftinde düşüş görüldü ve kayıp miktarının 230 milyon doları aşması bekleniyor. Cetus daha sonra akıllı sözleşmeyi durdurduğunu ve olayı araştırdığını açıkladı.

Slow Mist güvenlik ekibi, duruma hemen müdahale ederek bir güvenlik uyarısı yayınladı. Aşağıda, saldırı yöntemleri ve fon transfer durumu hakkında detaylı bir analiz bulunmaktadır.

Saldırı Analizi

Saldırganlar, dikkatlice yapılandırılmış parametreler aracılığıyla, taşma açığını kullanarak algılama sistemini aşmakta ve çok küçük bir token miktarını büyük likidite varlıklarıyla değiştirmektedirler. Ayrıntılı adımlar aşağıdaki gibidir:

  1. Saldırgan, 10.024.321,28 haSUI miktarını flash loan ile borç alarak havuzun fiyatının %99,90 düşmesine neden oldu.

  2. Saldırgan, likidite pozisyonu açmak için oldukça dar bir fiyat aralığı seçti, aralık genişliği yalnızca %1.00496621.

  3. Saldırı Çekirdeği: Saldırgan, büyük miktarda likidite eklediğini beyan eder, ancak sistem aslında yalnızca 1 adet A tokeni almıştır. Bu, get_delta_a fonksiyonundaki checked_shlw'de mevcut olan taşma tespiti atlatma açığından kaynaklanmaktadır.

  4. Saldırgan likiditeyi kaldırır, büyük miktarda token kazancı elde eder:

    • İlk kaldırma: 10,024,321.28 haSUI
    • İkinci kaldırma: 1 adet haSUI
    • Üçüncü kaldırma: 10,024,321.28 haSUI
  5. Saldırgan, hızlı krediyi geri ödeyerek yaklaşık 10,024,321.28 haSUI ve 5,765,124.79 SUI net kazanç elde etti.

Slow Fog: Cetus 2.3 milyon dolar çalındı, saldırı yöntemi ve fon transfer durumu analiz edildi

Proje Ekibi Onarım Durumu

Cetus, checked_shlw fonksiyonunun uygulanmasını düzeltmek için bir yamanın yayınlandığını duyurdu:

  • Hatalı maskeyi doğru eşik değerine düzeltin
  • Koşul değerlendirmesini düzelt
  • Taşma bayrağının doğru bir şekilde tespit edilmesini ve döndürülmesini sağlamak

Slow Mist: Cetus 2,3 milyar dolar çalıntı, saldırı yöntemi ve fon transfer durumu analiz edildi

Fon Akış Analizi

Saldırganlar yaklaşık 230 milyon dolar kazanç sağladı, bu kazanç SUI, vSUI, USDC gibi çeşitli varlıkları içeriyor. Bazı fonlar EVM adresine köprü üzerinden aktarıldı.

  • Yaklaşık 10 milyon dolar değerinde varlık Suilend'e yatırıldı.
  • 24,022,896 SUI yeni adrese transfer edildi, henüz çıkarılmadı.
  • Cetus, SUI üzerinde 162 milyon dolar değerindeki çalınan fonları başarıyla dondurduğunu açıkladı.

Slow Mist: Cetus'tan 2.3 milyar dolar çalındı, saldırı yöntemleri ve fon transfer durumu analiz ediliyor

EVM adresi fon akışı:

  • BSC'de 5.2319 BNB alındı, henüz transfer edilmedi.
  • Ethereum'da USDT, USDC, SOL ve ETH alındı
  • Bazı varlıklar DEX üzerinden ETH'ye dönüştürülür
  • 20,000 ETH yeni bir adrese transfer edildi, henüz çıkış yapılmadı
  • Mevcut Ethereum bakiyesi 3,244 ETH

Slow Mist: Cetus'tan 2.3 milyar dolar çalındı, saldırı yöntemleri ve fon transfer durumu analiz edildi

Özet

Bu saldırı, matematiksel taşma açıklarının gücünü gösterdi. Saldırganlar, checked_shlw fonksiyonundaki hatayı kullanarak, 1 token maliyetiyle büyük likidite elde etmek için hassas hesaplamalar yaptılar. Bu, akıllı sözleşme geliştirmede tüm matematiksel fonksiyonların sınır koşullarının titizlikle doğrulanması gerektiğini hatırlatan hassas bir matematiksel saldırıdır.

Slow Mist: Cetus'tan 2.3 milyar dolar çalındı, saldırı yöntemleri ve fon transferi durumu analiz edildi

Slow Mist: Cetus'tan çalınan 230 milyon dolar, saldırı yöntemleri ve fon transferi durumu analiz edildi

Slow Mist: Cetus'tan 2.3 milyar dolar çalındı, saldırı yöntemleri ve fon transfer durumu analiz edildi

Slow Mist: Cetus'tan 2.3 milyar dolar çalındı, saldırı yöntemi ve fon transfer durumu analiz edildi

Slow Fog: Cetus'tan 230 milyon dolar çalındı, saldırı yöntemi ve fon transfer durumu analiz ediliyor

Slow Mist: Cetus'tan 2.3 milyon dolar çalındı, saldırı yöntemi ve fon transfer durumu analiz edildi

Slow Mist: Cetus'tan 2.3 milyar dolar çalındı, saldırı yöntemleri ve fon transfer durumu analiz ediliyor

Slow Mist: Cetus'tan 2.3 milyar dolar çalındı, saldırı yöntemleri ve fon transfer durumu analiz edildi

Slow Mist: Cetus'tan 2.3 milyon dolar çalındı, saldırı yöntemleri ve fon transfer durumu analiz edildi

Slow Mist: Cetus'tan 2.3 milyar dolar çalındı, saldırı yöntemi ve fon transfer durumu analiz edildi

Slow Mist: Cetus'tan 2.3 milyon dolar çalındı, saldırı yöntemleri ve fon transfer durumu analiz edildi

Yavaş Sis: Cetus'tan 230 milyon dolar çalındı, saldırı yöntemleri ve fon transfer durumu

Slow Mist: Cetus'tan 2.3 milyar dolar çalındı, saldırı yöntemleri ve fon transfer durumu analiz edildi

Slow Mist: Cetus'tan çalınan 230 milyon dolar, saldırı teknikleri ve fon transfer durumu analiz ediliyor

Slow Fog: Cetus'ta 2.3 milyar dolar çalındı, saldırı yöntemleri ve fon transfer durumu analiz edildi

Slow Fog: Cetus'dan çalınan 230 milyon dolar, saldırı yöntemleri ve fon transfer durumu

Slow Mist: Cetus'un 2.3 milyon doları çalındı, saldırı yöntemleri ve fon transfer durumu analiz edildi

CETUS1.77%
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
  • Reward
  • 6
  • Share
Comment
0/400
DefiPlaybookvip
· 07-26 10:55
Yine Klip Kuponlar'dan yararlanıyorum, artık bunlara alıştım.
View OriginalReply0
MetaEggplantvip
· 07-25 21:55
Yine akıllı sözleşmelerin suçu.
View OriginalReply0
DuckFluffvip
· 07-24 06:17
Yine bir fırsat avcısı ile karşılaştık.
View OriginalReply0
quietly_stakingvip
· 07-24 06:15
Bu kayıp çok büyük oldu.
View OriginalReply0
AirdropHunter007vip
· 07-24 06:07
Yine bir sevimli çocuk enayi yerine konuldu.
View OriginalReply0
AirdropHunter420vip
· 07-24 06:05
akıllı sözleşmeler Denetimi tamamen uykuya mı gitti?
View OriginalReply0
  • Pin
Trade Crypto Anywhere Anytime
qrCode
Scan to download Gate app
Community
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)