Proyek Ekosistem SUI Cetus Mengalami Serangan Senilai 230 Juta Dolar, Penjelasan Metode dan Aliran Dana
Pada 22 Mei, penyedia likuiditas di ekosistem SUI, Cetus, diduga mengalami serangan, mengakibatkan penurunan kedalaman kolam likuiditas secara signifikan, dan beberapa pasangan perdagangan token mengalami penurunan, dengan estimasi kerugian lebih dari 230 juta dolar AS. Cetus kemudian mengeluarkan pengumuman bahwa mereka telah menghentikan kontrak pintar dan sedang menyelidiki peristiwa ini.
Sebuah tim keamanan segera melakukan analisis dan merilis peringatan keamanan. Berikut adalah analisis rinci tentang metode serangan dan situasi transfer dana.
Analisis Serangan
Inti dari serangan ini adalah penyerang dengan cermat membangun parameter sehingga terjadi overflow tetapi dapat menghindari deteksi, akhirnya menukarkan jumlah token yang sangat kecil untuk mendapatkan aset likuiditas yang besar. Langkah-langkahnya adalah sebagai berikut:
Penyerang pertama-tama meminjam sejumlah besar haSUI melalui pinjaman kilat, yang menyebabkan harga kolam jatuh 99,90%.
Penyerang memilih kisaran harga yang sangat sempit untuk membuka posisi likuiditas, dengan lebar kisaran hanya 1,00496621%.
Inti Serangan: Penyerang menyatakan ingin menambahkan likuiditas besar, tetapi sistem sebenarnya hanya menerima 1 token A. Ini disebabkan oleh adanya celah bypass deteksi overflow pada checked_shlw dalam fungsi get_delta_a.
Penyerang menghapus likuiditas dan mendapatkan keuntungan token yang besar.
Penyerang mengembalikan pinjaman kilat, dengan keuntungan bersih sekitar 10.024.321,28 haSUI dan 5.765.124,79 SUI.
Perbaikan Tim Proyek
Cetus telah merilis patch perbaikan, yang terutama memperbaiki implementasi fungsi checked_shlw:
Perbaiki masker yang salah menjadi ambang yang benar
Memperbaiki kondisi penilaian
Pastikan dapat mendeteksi dan mengembalikan tanda overflow dengan benar
Analisis Aliran Dana
Penyerang memperoleh keuntungan sekitar 230 juta dolar AS, termasuk berbagai aset seperti SUI, vSUI, USDC, dan lainnya. Penyerang memindahkan sebagian dana melalui jembatan lintas rantai ke alamat EVM. Perilaku spesifik termasuk:
Memindahkan sebagian aset seperti USDC, SOL, suiETH ke alamat EVM
Mengirim sekitar 5.2341 WBNB lintas rantai ke alamat BSC
Menyimpan aset senilai 10 juta dolar AS ke Suilend
Transfer 24,022,896 SUI ke alamat baru
Menurut Cetus, saat ini telah berhasil membekukan dana yang dicuri sebesar 162 juta dolar AS di SUI.
Di rantai EVM, perilaku penyerang mencakup:
Menerima dan memegang sekitar 5.2319 BNB di BSC
Menerima dan menukarkan berbagai token menjadi ETH di Ethereum
Transfer 20.000 ETH ke alamat baru
Saat ini saldo di Ethereum adalah 3.244 ETH
Ringkasan
Serangan kali ini menunjukkan bahaya dari kerentanan overflow matematika. Penyerang memanfaatkan cacat fungsi checked_shlw dengan perhitungan yang tepat dan pemilihan parameter tertentu, untuk mendapatkan likuiditas besar dengan biaya yang sangat rendah. Pengembang harus secara ketat memverifikasi semua kondisi batas fungsi matematika dalam pengembangan kontrak pintar untuk mencegah kerentanan serupa.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
13 Suka
Hadiah
13
7
Posting ulang
Bagikan
Komentar
0/400
BtcDailyResearcher
· 5jam yang lalu
Dianggap Bodoh来咯 这单玩的真大
Lihat AsliBalas0
TokenCreatorOP
· 19jam yang lalu
Sekali lagi, ada celah dalam smart contract. Babe-babe, ingatlah, jangan pernah menjadi yang pertama mencoba.
Lihat AsliBalas0
WhaleSurfer
· 19jam yang lalu
Ayah SUI datang untuk mengumpulkan sewa!
Lihat AsliBalas0
NotGonnaMakeIt
· 19jam yang lalu
Dia datang... lagi satu potong suckers hilang.
Lihat AsliBalas0
LonelyAnchorman
· 19jam yang lalu
Dua ratus juta begitu saja menghilang, sampanye tidak bisa dibuka.
Lihat AsliBalas0
MevShadowranger
· 19jam yang lalu
Satu proyek baru lagi telah jatuh. Sigh.
Lihat AsliBalas0
ZKProofster
· 19jam yang lalu
secara teknis, eksploitasi overflow lainnya... amatir tidak pernah belajar untuk menangani kasus tepi smh
Proyek ekosistem SUI Cetus diserang senilai 230 juta dolar, celah overflow menyebabkan kerugian besar.
Proyek Ekosistem SUI Cetus Mengalami Serangan Senilai 230 Juta Dolar, Penjelasan Metode dan Aliran Dana
Pada 22 Mei, penyedia likuiditas di ekosistem SUI, Cetus, diduga mengalami serangan, mengakibatkan penurunan kedalaman kolam likuiditas secara signifikan, dan beberapa pasangan perdagangan token mengalami penurunan, dengan estimasi kerugian lebih dari 230 juta dolar AS. Cetus kemudian mengeluarkan pengumuman bahwa mereka telah menghentikan kontrak pintar dan sedang menyelidiki peristiwa ini.
Sebuah tim keamanan segera melakukan analisis dan merilis peringatan keamanan. Berikut adalah analisis rinci tentang metode serangan dan situasi transfer dana.
Analisis Serangan
Inti dari serangan ini adalah penyerang dengan cermat membangun parameter sehingga terjadi overflow tetapi dapat menghindari deteksi, akhirnya menukarkan jumlah token yang sangat kecil untuk mendapatkan aset likuiditas yang besar. Langkah-langkahnya adalah sebagai berikut:
Penyerang pertama-tama meminjam sejumlah besar haSUI melalui pinjaman kilat, yang menyebabkan harga kolam jatuh 99,90%.
Penyerang memilih kisaran harga yang sangat sempit untuk membuka posisi likuiditas, dengan lebar kisaran hanya 1,00496621%.
Inti Serangan: Penyerang menyatakan ingin menambahkan likuiditas besar, tetapi sistem sebenarnya hanya menerima 1 token A. Ini disebabkan oleh adanya celah bypass deteksi overflow pada checked_shlw dalam fungsi get_delta_a.
Penyerang menghapus likuiditas dan mendapatkan keuntungan token yang besar.
Penyerang mengembalikan pinjaman kilat, dengan keuntungan bersih sekitar 10.024.321,28 haSUI dan 5.765.124,79 SUI.
Perbaikan Tim Proyek
Cetus telah merilis patch perbaikan, yang terutama memperbaiki implementasi fungsi checked_shlw:
Analisis Aliran Dana
Penyerang memperoleh keuntungan sekitar 230 juta dolar AS, termasuk berbagai aset seperti SUI, vSUI, USDC, dan lainnya. Penyerang memindahkan sebagian dana melalui jembatan lintas rantai ke alamat EVM. Perilaku spesifik termasuk:
Menurut Cetus, saat ini telah berhasil membekukan dana yang dicuri sebesar 162 juta dolar AS di SUI.
Di rantai EVM, perilaku penyerang mencakup:
Ringkasan
Serangan kali ini menunjukkan bahaya dari kerentanan overflow matematika. Penyerang memanfaatkan cacat fungsi checked_shlw dengan perhitungan yang tepat dan pemilihan parameter tertentu, untuk mendapatkan likuiditas besar dengan biaya yang sangat rendah. Pengembang harus secara ketat memverifikasi semua kondisi batas fungsi matematika dalam pengembangan kontrak pintar untuk mencegah kerentanan serupa.