Cetus, matematik taşma açığı saldırısına uğradı, kayıp 2.3 milyar doları aştı
22 Mayıs'ta, SUI ekosistemindeki likidite sağlayıcısı Cetus'un saldırıya uğradığı iddia ediliyor, likidite havuzunun derinliği önemli ölçüde düştü, birçok token işlem çifti değer kaybetti ve kayıp miktarının 230 milyon doları aştığı tahmin ediliyor. Cetus daha sonra akıllı sözleşmeyi geçici olarak askıya aldığını ve olayı araştırdığını duyurdu.
Bu saldırının temelinde, saldırganların dikkatlice yapılandırılmış parametreler aracılığıyla sistemdeki matematiksel taşma açığını kullanarak çok az miktarda token ile büyük likidite varlıkları elde etmesi yer almaktadır. Saldırı süreci esasen aşağıdaki adımları içermektedir:
Saldırgan, bir lightning loan aracılığıyla büyük miktarda haSUI borç aldığında, havuzun fiyatı %99.90 oranında düştü.
Çok dar bir fiyat aralığında likidite pozisyonu açmak, aralık genişliği yalnızca %1.00496621.
get_delta_a fonksiyonundaki checked_shlw'nin taşma tespiti bypass açığını kullanarak, büyük miktarda likidite eklemesi yapıldığını beyan edin, ancak gerçekte sadece 1 token ödenmiştir.
Likiditeyi kaldırın, büyük miktarda haSUI ve SUI tokenleri elde edin.
Flash kredisini iade et, saldırıyı tamamla.
Saldırgan, SUI, vSUI, USDC gibi çeşitli varlıklar dahil olmak üzere yaklaşık 230 milyon dolar kazanç sağladı. Saldırıdan sonra, bazı fonlar EVM adresine köprü aracılığıyla transfer edildi; bunlar arasında yaklaşık 10 milyon dolar Suilend'e yatırıldı ve 24,022,896 SUI yeni bir adrese aktarıldı.
Şans eseri, SUI Vakfı ve diğer ekosistem üyelerinin işbirliği ile, şu anda SUI üzerinde çalınan 162 milyon doların dondurulması başarıyla tamamlandı.
Cetus, checked_shlw fonksiyonundaki hata maskesi ve koşullarını düzeltmek için bir yamanın yayımlandığını duyurdu ve taşma durumlarını doğru bir şekilde tespit etmeyi sağladı.
Bu saldırı, matematik taşma açığının tehlikesini vurguladı. Geliştiricilerin akıllı sözleşme geliştirme sürecinde, benzer saldırıların tekrar gerçekleşmesini önlemek için tüm matematik fonksiyonlarının sınır koşullarını titizlikle doğrulamaları gerekmektedir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
17 Likes
Reward
17
6
Share
Comment
0/400
GateUser-1a2ed0b9
· 20h ago
Matematik açılımı, kim anlıyor ki...
View OriginalReply0
GateUser-aa7df71e
· 20h ago
Bak, yine de benim dediğim doğru, sui bir çöp zinciri.
View OriginalReply0
GateUser-c802f0e8
· 20h ago
Klip Kuponlar eğitimi için oturuyoruz
View OriginalReply0
ChainSpy
· 20h ago
Aman, yine haberlere çıkacağız.
View OriginalReply0
ZeroRushCaptain
· 20h ago
Yine bir savaş alanında kaybettim, bu enayi yerime koyma hatırlatıcım etkisini gösterdi.
Cetus matematik taşma saldırısına uğradı, 2.3 milyar dolar kaybedildi, 162 milyon dolar donduruldu.
Cetus, matematik taşma açığı saldırısına uğradı, kayıp 2.3 milyar doları aştı
22 Mayıs'ta, SUI ekosistemindeki likidite sağlayıcısı Cetus'un saldırıya uğradığı iddia ediliyor, likidite havuzunun derinliği önemli ölçüde düştü, birçok token işlem çifti değer kaybetti ve kayıp miktarının 230 milyon doları aştığı tahmin ediliyor. Cetus daha sonra akıllı sözleşmeyi geçici olarak askıya aldığını ve olayı araştırdığını duyurdu.
Bu saldırının temelinde, saldırganların dikkatlice yapılandırılmış parametreler aracılığıyla sistemdeki matematiksel taşma açığını kullanarak çok az miktarda token ile büyük likidite varlıkları elde etmesi yer almaktadır. Saldırı süreci esasen aşağıdaki adımları içermektedir:
Saldırgan, bir lightning loan aracılığıyla büyük miktarda haSUI borç aldığında, havuzun fiyatı %99.90 oranında düştü.
Çok dar bir fiyat aralığında likidite pozisyonu açmak, aralık genişliği yalnızca %1.00496621.
get_delta_a fonksiyonundaki checked_shlw'nin taşma tespiti bypass açığını kullanarak, büyük miktarda likidite eklemesi yapıldığını beyan edin, ancak gerçekte sadece 1 token ödenmiştir.
Likiditeyi kaldırın, büyük miktarda haSUI ve SUI tokenleri elde edin.
Flash kredisini iade et, saldırıyı tamamla.
Saldırgan, SUI, vSUI, USDC gibi çeşitli varlıklar dahil olmak üzere yaklaşık 230 milyon dolar kazanç sağladı. Saldırıdan sonra, bazı fonlar EVM adresine köprü aracılığıyla transfer edildi; bunlar arasında yaklaşık 10 milyon dolar Suilend'e yatırıldı ve 24,022,896 SUI yeni bir adrese aktarıldı.
Şans eseri, SUI Vakfı ve diğer ekosistem üyelerinin işbirliği ile, şu anda SUI üzerinde çalınan 162 milyon doların dondurulması başarıyla tamamlandı.
Cetus, checked_shlw fonksiyonundaki hata maskesi ve koşullarını düzeltmek için bir yamanın yayımlandığını duyurdu ve taşma durumlarını doğru bir şekilde tespit etmeyi sağladı.
Bu saldırı, matematik taşma açığının tehlikesini vurguladı. Geliştiricilerin akıllı sözleşme geliştirme sürecinde, benzer saldırıların tekrar gerçekleşmesini önlemek için tüm matematik fonksiyonlarının sınır koşullarını titizlikle doğrulamaları gerekmektedir.