تعرض مشروع SUI生态Cetus لهجوم بقيمة 2.3 مليار دولار، تفاصيل الأساليب وتدفق الأموال
في 22 مايو، يبدو أن مزود السيولة في نظام SUI البيئي، Cetus، قد تعرض لهجوم، مما أدى إلى انخفاض كبير في عمق بركة السيولة، وظهور انخفاض في العديد من أزواج تداول الرموز، مع تقدير الخسائر بأكثر من 230 مليون دولار. بعد ذلك، أصدرت Cetus إعلانًا يفيد بأنها قد أوقفت العقد الذكي، وأنها تحقق في هذا الحدث.
تدخل فريق أمان بسرعة للتحليل ونشر تنبيهات الأمان. فيما يلي تحليل مفصل لأساليب الهجوم وحالة تحويل الأموال.
تحليل الهجمات
تتمثل جوهر الهجوم في قيام المهاجمين بإنشاء معلمات بعناية بحيث تحدث تجاوزات ولكن يمكنهم تجاوز الكشف، وفي النهاية استبدال مبلغ ضئيل جداً من الرموز مقابل أصول سيولة ضخمة. الخطوات المحددة كالتالي:
يقوم المهاجم أولاً باقتراض كمية كبيرة من haSUI من خلال قرض فوري، مما يؤدي إلى انهيار سعر المسبح بنسبة 99.90٪.
المهاجم اختار نطاق سعر ضيق للغاية لفتح مركز سيولة، بعرض نطاق لا يتجاوز 1.00496621%.
هجوم على الجوهر: يعلن المهاجم أنه سيضيف سيولة ضخمة، لكن النظام في الواقع استقبل فقط 1 من الرمز A. وذلك بسبب وجود ثغرة في تجاوز فحص overflow في دالة get_delta_a.
المهاجم يزيل السيولة ويحصل على أرباح ضخمة من الرموز.
أرجع المهاجم القرض الفوري، وصافي الربح حوالي 10,024,321.28 من haSUI و 5,765,124.79 من SUI.
إصلاح المشروع
أصدرت Cetus تصحيحًا، والذي قام بشكل أساسي بإصلاح تنفيذ دالة checked_shlw:
تصحيح القناع الخاطئ إلى العتبة الصحيحة
تصحيح شروط التقييم
تأكد من أنه يمكن اكتشاف وإرجاع علامة الفائض بشكل صحيح
حقق المهاجمون أرباحًا تقارب 2.3 مليار دولار، بما في ذلك أصول متعددة مثل SUI وvSUI وUSDC. قام المهاجمون بنقل جزء من الأموال عبر جسر عبر السلاسل إلى عنوان EVM. تشمل السلوكيات المحددة ما يلي:
نقل بعض الأصول مثل USDC و SOL و suiETH إلى عنوان EVM عبر السلسلة
نقل حوالي 5.2341 WBNB عبر السلاسل إلى عنوان BSC
إيداع أصول بقيمة 10,000,000 دولار أمريكي في Suilend
نقل 24,022,896 SUI إلى عنوان جديد
وفقًا لـCetus، فقد تم تجميد 162 مليون دولار من الأموال المسروقة على SUI بنجاح.
أظهرت هذه الهجمة خطورة ثغرات تجاوز السعة الرياضية. استغل المهاجمون عيب دالة checked_shlw من خلال حسابات دقيقة واختيار معلمات معينة، مما أتاح لهم الحصول على سيولة ضخمة بتكلفة منخفضة للغاية. يجب على المطورين التحقق بدقة من جميع شروط الحدود للدوال الرياضية أثناء تطوير العقود الذكية، لتجنب ثغرات مماثلة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 13
أعجبني
13
7
إعادة النشر
مشاركة
تعليق
0/400
BtcDailyResearcher
· منذ 21 س
يُستغل بغباء.来咯 这单玩的真大
شاهد النسخة الأصليةرد0
TokenCreatorOP
· 08-10 21:48
مرة أخرى هناك ثغرة في العقود الذكية، تذكروا يا حبيبي، لا تكونوا أبداً أول من يأكل السلطعون.
شاهد النسخة الأصليةرد0
WhaleSurfer
· 08-10 21:46
أب SUI جاء لجمع الإيجار!
شاهد النسخة الأصليةرد0
NotGonnaMakeIt
· 08-10 21:43
لقد جاء... تم القضاء على حمقى آخرين
شاهد النسخة الأصليةرد0
LonelyAnchorman
· 08-10 21:43
مئتي مليون هكذا ضاعت، لا أستطيع فتح الشمبانيا.
شاهد النسخة الأصليةرد0
MevShadowranger
· 08-10 21:23
مشروع جديد آخر سقط. آه
شاهد النسخة الأصليةرد0
ZKProofster
· 08-10 21:19
تقنيًا، استغلال آخر لتجاوز السعة... الهواة لا يتعلمون أبدًا كيفية التعامل مع الحالات الحدية، يا للأسف
تمت مهاجمة مشروع سUI الإيكولوجي سيتوس بمبلغ 230 مليون دولار، مما أدى إلى خسائر ضخمة نتيجة ثغرة تجاوز السعة.
تعرض مشروع SUI生态Cetus لهجوم بقيمة 2.3 مليار دولار، تفاصيل الأساليب وتدفق الأموال
في 22 مايو، يبدو أن مزود السيولة في نظام SUI البيئي، Cetus، قد تعرض لهجوم، مما أدى إلى انخفاض كبير في عمق بركة السيولة، وظهور انخفاض في العديد من أزواج تداول الرموز، مع تقدير الخسائر بأكثر من 230 مليون دولار. بعد ذلك، أصدرت Cetus إعلانًا يفيد بأنها قد أوقفت العقد الذكي، وأنها تحقق في هذا الحدث.
تدخل فريق أمان بسرعة للتحليل ونشر تنبيهات الأمان. فيما يلي تحليل مفصل لأساليب الهجوم وحالة تحويل الأموال.
تحليل الهجمات
تتمثل جوهر الهجوم في قيام المهاجمين بإنشاء معلمات بعناية بحيث تحدث تجاوزات ولكن يمكنهم تجاوز الكشف، وفي النهاية استبدال مبلغ ضئيل جداً من الرموز مقابل أصول سيولة ضخمة. الخطوات المحددة كالتالي:
يقوم المهاجم أولاً باقتراض كمية كبيرة من haSUI من خلال قرض فوري، مما يؤدي إلى انهيار سعر المسبح بنسبة 99.90٪.
المهاجم اختار نطاق سعر ضيق للغاية لفتح مركز سيولة، بعرض نطاق لا يتجاوز 1.00496621%.
هجوم على الجوهر: يعلن المهاجم أنه سيضيف سيولة ضخمة، لكن النظام في الواقع استقبل فقط 1 من الرمز A. وذلك بسبب وجود ثغرة في تجاوز فحص overflow في دالة get_delta_a.
المهاجم يزيل السيولة ويحصل على أرباح ضخمة من الرموز.
أرجع المهاجم القرض الفوري، وصافي الربح حوالي 10,024,321.28 من haSUI و 5,765,124.79 من SUI.
إصلاح المشروع
أصدرت Cetus تصحيحًا، والذي قام بشكل أساسي بإصلاح تنفيذ دالة checked_shlw:
! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويل الأموال
تحليل تدفق الأموال
حقق المهاجمون أرباحًا تقارب 2.3 مليار دولار، بما في ذلك أصول متعددة مثل SUI وvSUI وUSDC. قام المهاجمون بنقل جزء من الأموال عبر جسر عبر السلاسل إلى عنوان EVM. تشمل السلوكيات المحددة ما يلي:
وفقًا لـCetus، فقد تم تجميد 162 مليون دولار من الأموال المسروقة على SUI بنجاح.
! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويل الأموال
على سلسلة EVM ، تشمل تصرفات المهاجمين:
! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويل الأموال
ملخص
أظهرت هذه الهجمة خطورة ثغرات تجاوز السعة الرياضية. استغل المهاجمون عيب دالة checked_shlw من خلال حسابات دقيقة واختيار معلمات معينة، مما أتاح لهم الحصول على سيولة ضخمة بتكلفة منخفضة للغاية. يجب على المطورين التحقق بدقة من جميع شروط الحدود للدوال الرياضية أثناء تطوير العقود الذكية، لتجنب ثغرات مماثلة.
! ضباب بطيء: 230 مليون دولار مسروقة من سيتوس ، تحليل طرق الهجوم وتحويلات الأموال
! ضباب بطيء: 230 مليون دولار مسروقة من سيتوس ، تحليل طرق الهجوم وتحويلات الأموال
! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويل الأموال