El proyecto ecológico SUI Cetus sufre un ataque de 230 millones de dólares, detalles sobre el método y el flujo de fondos
El 22 de mayo, el proveedor de liquidez del ecosistema SUI, Cetus, supuestamente fue atacado, lo que provocó una gran disminución en la profundidad del fondo de liquidez, y varios pares de tokens experimentaron caídas, estimándose pérdidas de más de 230 millones de dólares. Cetus luego emitió un anuncio indicando que había suspendido el contrato inteligente y estaba investigando el incidente.
Un equipo de seguridad intervino rápidamente para analizar y emitir un aviso de seguridad. A continuación se presenta un análisis detallado de las técnicas de ataque y la situación de la transferencia de fondos.
Análisis de ataque
El núcleo de este ataque radica en que el atacante, mediante la construcción cuidadosa de parámetros, provoca un desbordamiento que puede eludir la detección y, finalmente, intercambia una cantidad muy pequeña de tokens por una gran cantidad de activos de liquidez. Los pasos concretos son los siguientes:
El atacante primero pidió prestado una gran cantidad de haSUI a través de un préstamo relámpago, lo que provocó una caída del 99.90% en el precio del fondo.
El atacante eligió un rango de precios extremadamente estrecho para abrir una posición de liquidez, con un ancho de rango de solo 1.00496621%.
Núcleo del ataque: el atacante declara que va a añadir una gran liquidez, pero el sistema en realidad solo ha recibido 1 token A. Esto se debe a una vulnerabilidad de elusión de detección de desbordamiento en checked_shlw dentro de la función get_delta_a.
El atacante retira la liquidez y obtiene enormes beneficios en tokens.
El atacante devuelve el préstamo relámpago, obteniendo una ganancia neta de aproximadamente 10,024,321.28 haSUI y 5,765,124.79 SUI.
Reparación del Proyecto
Cetus lanzó un parche de corrección, que corrige principalmente la implementación de la función checked_shlw:
Corrija la máscara incorrecta al umbral correcto
Corregir condiciones de juicio
Asegurarse de poder detectar y devolver correctamente la bandera de desbordamiento
Análisis del flujo de fondos
Los atacantes obtuvieron aproximadamente 230 millones de dólares, incluyendo SUI, vSUI, USDC y otros activos. Los atacantes transfirieron parte de los fondos a una dirección EVM a través de un puente entre cadenas. Las acciones específicas incluyen:
Transferir parte de los activos como USDC, SOL, suiETH a una dirección EVM
Transferir aproximadamente 5.2341 WBNB a una dirección BSC
Depositar activos por valor de 10 millones de dólares en Suilend
Transferir 24,022,896 SUI a una nueva dirección
Según Cetus, se ha logrado congelar con éxito 162 millones de dólares en fondos robados en SUI.
En la cadena EVM, las acciones de los atacantes incluyen:
Recibido y mantenido aproximadamente 5.2319 BNB en BSC
Recibir e intercambiar múltiples tokens por ETH en Ethereum
Transferir 20,000 ETH a una nueva dirección
Actualmente el saldo en Ethereum es de 3,244 ETH
Resumen
Este ataque demuestra la peligrosidad de las vulnerabilidades de desbordamiento matemático. El atacante, a través de cálculos precisos y la selección de parámetros específicos, aprovechó el defecto de la función checked_shlw, obteniendo una gran liquidez a un costo muy bajo. Los desarrolladores deben verificar rigurosamente todas las condiciones de frontera de las funciones matemáticas en el desarrollo de contratos inteligentes para prevenir vulnerabilidades similares.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
11 me gusta
Recompensa
11
6
Republicar
Compartir
Comentar
0/400
TokenCreatorOP
· hace12h
Otra vez es una vulnerabilidad de contratos inteligentes. Bebés, recuerden: nunca sean los primeros en comer cangrejos.
Ver originalesResponder0
WhaleSurfer
· hace12h
¡El papá de SUI viene a recoger el alquiler!
Ver originalesResponder0
NotGonnaMakeIt
· hace12h
Él ha venido... otro tonto ha desaparecido.
Ver originalesResponder0
LonelyAnchorman
· hace12h
Dos cientos millones se fueron así. No puedo abrir el champán.
Ver originalesResponder0
MevShadowranger
· hace13h
Otro nuevo proyecto ha caído. Ay.
Ver originalesResponder0
ZKProofster
· hace13h
técnicamente hablando, otra explotación de desbordamiento... los aficionados nunca aprenden a manejar los casos límite smh
El proyecto ecológico SUI, Cetus, fue atacado por 230 millones de dólares, una vulnerabilidad de desbordamiento causó enormes pérdidas.
El proyecto ecológico SUI Cetus sufre un ataque de 230 millones de dólares, detalles sobre el método y el flujo de fondos
El 22 de mayo, el proveedor de liquidez del ecosistema SUI, Cetus, supuestamente fue atacado, lo que provocó una gran disminución en la profundidad del fondo de liquidez, y varios pares de tokens experimentaron caídas, estimándose pérdidas de más de 230 millones de dólares. Cetus luego emitió un anuncio indicando que había suspendido el contrato inteligente y estaba investigando el incidente.
Un equipo de seguridad intervino rápidamente para analizar y emitir un aviso de seguridad. A continuación se presenta un análisis detallado de las técnicas de ataque y la situación de la transferencia de fondos.
Análisis de ataque
El núcleo de este ataque radica en que el atacante, mediante la construcción cuidadosa de parámetros, provoca un desbordamiento que puede eludir la detección y, finalmente, intercambia una cantidad muy pequeña de tokens por una gran cantidad de activos de liquidez. Los pasos concretos son los siguientes:
El atacante primero pidió prestado una gran cantidad de haSUI a través de un préstamo relámpago, lo que provocó una caída del 99.90% en el precio del fondo.
El atacante eligió un rango de precios extremadamente estrecho para abrir una posición de liquidez, con un ancho de rango de solo 1.00496621%.
Núcleo del ataque: el atacante declara que va a añadir una gran liquidez, pero el sistema en realidad solo ha recibido 1 token A. Esto se debe a una vulnerabilidad de elusión de detección de desbordamiento en checked_shlw dentro de la función get_delta_a.
El atacante retira la liquidez y obtiene enormes beneficios en tokens.
El atacante devuelve el préstamo relámpago, obteniendo una ganancia neta de aproximadamente 10,024,321.28 haSUI y 5,765,124.79 SUI.
Reparación del Proyecto
Cetus lanzó un parche de corrección, que corrige principalmente la implementación de la función checked_shlw:
Análisis del flujo de fondos
Los atacantes obtuvieron aproximadamente 230 millones de dólares, incluyendo SUI, vSUI, USDC y otros activos. Los atacantes transfirieron parte de los fondos a una dirección EVM a través de un puente entre cadenas. Las acciones específicas incluyen:
Según Cetus, se ha logrado congelar con éxito 162 millones de dólares en fondos robados en SUI.
En la cadena EVM, las acciones de los atacantes incluyen:
Resumen
Este ataque demuestra la peligrosidad de las vulnerabilidades de desbordamiento matemático. El atacante, a través de cálculos precisos y la selección de parámetros específicos, aprovechó el defecto de la función checked_shlw, obteniendo una gran liquidez a un costo muy bajo. Los desarrolladores deben verificar rigurosamente todas las condiciones de frontera de las funciones matemáticas en el desarrollo de contratos inteligentes para prevenir vulnerabilidades similares.