- الموضوع
39k درجة الشعبية
20k درجة الشعبية
33k درجة الشعبية
31k درجة الشعبية
4k درجة الشعبية
97k درجة الشعبية
29k درجة الشعبية
27k درجة الشعبية
7k درجة الشعبية
18k درجة الشعبية
- تثبيت
39k درجة الشعبية
20k درجة الشعبية
33k درجة الشعبية
31k درجة الشعبية
4k درجة الشعبية
97k درجة الشعبية
29k درجة الشعبية
27k درجة الشعبية
7k درجة الشعبية
18k درجة الشعبية
تعرضت Cetus لهجوم وخسرت 2.3 مليار دولار، مما ينبه إلى خطورة أمان بيئة SUI.
تعرضت Cetus لهجوم، وبلغت خسائرها أكثر من 2.3 مليار دولار
في 22 مايو، تعرض مزود السيولة في نظام SUI البيئي، Cetus، للاشتباه في الهجوم، حيث شهدت عدة أزواج تداول انخفاضًا كبيرًا، وانخفض عمق تجمع السيولة بشكل حاد، ومن المتوقع أن تتجاوز الخسائر 2.3 مليار دولار. ثم أصدرت Cetus إعلانًا يفيد بأنها قد أوقفت العقود الذكية، وهي تجري تحقيقًا في الحدث.
قامت فريق الأمان بتحليل عميق للهجوم الأخير، كاشفةً عن الأساليب المحددة للمهاجمين.
تحليل الهجمات
استغل المهاجمون ثغرات النظام من خلال بناء معلمات بعناية لتحقيق عملية استبدال رموز صغيرة مقابل سيولة ضخمة. الخطوات المحددة هي كما يلي:
اقتراض كمية كبيرة من haSUI من خلال القرض الفوري، مما أدى إلى انهيار سعر الحوض بنسبة 99.90%.
فتح مراكز سيولة في نطاق سعري ضيق للغاية، حيث عرض النطاق هو فقط 1.00496621%.
إعلان إضافة سيولة ضخمة، ولكن في الواقع دفع 1 عملة A فقط. هذه هي الحلقة الأساسية للهجوم، حيث يتم استغلال ثغرة تجاوز الفحص في دالة get_delta_a.
حدث انحراف كبير في النظام عند حساب عدد haSUI المطلوب، مما أدى إلى سوء تقدير يسمح للمهاجمين بتبادل عدد قليل من الرموز للحصول على كميات كبيرة من الأصول السائلة.
أخيرًا، قم بإزالة السيولة للحصول على عوائد رمزية ضخمة، وإكمال الهجوم.
! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويل الأموال
إصلاح من قبل فريق المشروع
بعد الهجوم، أصدرت Cetus على الفور تصحيحًا. تم إصلاح الخلل الرئيسي في دالة checked_shlw، بما في ذلك قناع الخطأ وظروف التحقق، لضمان الكشف الصحيح عن الحالات التي قد تؤدي إلى تجاوز السعة.
تحليل تدفق الأموال
حقق المهاجمون أرباحًا تقدر بحوالي 230 مليون دولار، بما في ذلك أصول متعددة مثل SUI وvSUI وUSDC. تم تحويل جزء من الأموال إلى عنوان EVM عبر جسر متعدد السلاسل. تم إيداع أصول بقيمة حوالي 10 ملايين دولار في Suilend، وتم نقل 24 مليون SUI إلى عنوان جديد ولم يتم تحويلها بعد.
لحسن الحظ، تمكنت مؤسسة SUI والأطراف المعنية الأخرى من تجميد حوالي 162 مليون دولار من الأموال المسروقة على سلسلة SUI.
على سلسلة EVM، قام المهاجم بتحويل جزء من الأموال إلى ETH ونقل 20,000 ETH إلى عنوان جديد. حاليا، رصيد هذا العنوان على الإيثيريوم هو 3,244 ETH.
! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويل الأموال
! ضباب بطيء: 230 مليون دولار مسروقة من سيتوس ، تحليل طرق الهجوم وتحويلات الأموال
! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويلات الأموال
! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويل الأموال
ملخص
تظهر هذه الهجمة قوة ثغرات تجاوز السعة الرياضية بشكل كامل. استغل المهاجمون العيوب في دوال العقد الذكي من خلال الحسابات الدقيقة واختيار المعايير لتحقيق أرباح ضخمة. وهذا يذكّر المطورين بضرورة التحقق بدقة من جميع شروط حدود الدوال الرياضية أثناء تطوير العقود، لتجنب هجمات مماثلة.