- الموضوع
36k درجة الشعبية
4k درجة الشعبية
4k درجة الشعبية
39k درجة الشعبية
17k درجة الشعبية
31k درجة الشعبية
31k درجة الشعبية
3k درجة الشعبية
95k درجة الشعبية
27k درجة الشعبية
- تثبيت
36k درجة الشعبية
4k درجة الشعبية
4k درجة الشعبية
39k درجة الشعبية
17k درجة الشعبية
31k درجة الشعبية
31k درجة الشعبية
3k درجة الشعبية
95k درجة الشعبية
27k درجة الشعبية
Cetus تعرضت لهجوم بقيمة 2.3 مليار دولار وبيئة SUI تواجه ضربة قوية
تحليل حادثة هجوم بقيمة 2.3 مليار دولار على Cetus
في 22 مايو، يبدو أن مزود السيولة في نظام SUI البيئي، Cetus، قد تعرض لهجوم، حيث شهدت عدة أزواج تداول انخفاضًا كبيرًا، مع تقدير للخسائر بأكثر من 230 مليون دولار. ثم أصدرت Cetus إعلانًا يفيد بأنها قد أوقفت العقد الذكي، وهي تحقق في الحادث.
تدخل فريق الأمان بسرعة للتحليل وأصدر تحذيراً أمنياً. فيما يلي تحليل مفصل لأساليب الهجوم وحالة تحويل الأموال.
! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويل الأموال
تحليل الهجوم
استغل المهاجمون ثغرات النظام عن طريق بناء معلمات بعناية لتنفيذ هجوم يتمكنون فيه من استبدال كميات صغيرة من الرموز بأصول سيولة ضخمة. الخطوات الرئيسية كالتالي:
اقتراض كمية كبيرة من haSUI من خلال القرض الفوري، مما أدى إلى انخفاض سعر الحوض بنسبة 99.90٪.
فتح موضع سيولة في نطاق سعر ضيق للغاية، بحدود نطاق تبلغ فقط 1.00496621%.
استغلال ثغرة تجاوز فحص checked_shlw في دالة get_delta_a لإضافة سيولة ضخمة ولكن الدفع فعليًا هو رمز واحد فقط.
حدث انحراف كبير في حساب عدد haSUI المطلوب من قبل النظام، مما أدى إلى حصول المهاجمين على كميات كبيرة من الأصول السائلة بتكلفة منخفضة جدًا.
إزالة السيولة للحصول على مكاسب ضخمة من الرموز، بعد إعادة القرض السريع حقق صافي ربح يقارب 10 ملايين haSUI و 5.76 ملايين SUI.
! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويل الأموال
! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويل الأموال
حالة إصلاح المشروع
أصدرت Cetus تصحيحًا، والذي يصحح بشكل أساسي قناع الخطأ وظروف الحكم في دالة checked_shlw، لضمان القدرة على الكشف بشكل صحيح عن حالات التجاوز.
! ضباب بطيء: 230 مليون دولار مسروقة من سيتوس ، تحليل طرق الهجوم وتحويلات الأموال
تحليل تدفق الأموال
حقق المهاجمون أرباحًا تقدر بحوالي 2.3 مليار دولار أمريكي، بما في ذلك أصول متعددة مثل SUI وvSUI وUSDC. تم تحويل جزء من الأموال عبر جسر متعدد السلاسل إلى عنوان EVM، وتم إيداع حوالي 10 ملايين دولار أمريكي في Suilend، وتم نقل 24 مليون SUI إلى عنوان جديد لم يتم تحويله بعد.
لحسن الحظ، تعاونت مؤسسة SUI وأعضاء النظام البيئي لتجميد حوالي 162 مليون دولار من الأموال المسروقة.
في عنوان استلام EVM، تم تحويل جزء من الأموال إلى ETH من خلال DEX، وتم نقل 20,000 ETH إلى عنوان جديد، والرصيد الحالي لهذا العنوان هو 3244 ETH.
! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويل الأموال
! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويل الأموال
! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويلات الأموال
ملخص
تسلط هذه الهجمة الضوء على خطورة ثغرات تجاوز السعة الرياضية. يجب على المطورين في تطوير العقود الذكية التحقق بدقة من جميع شروط الحدود للدوال الرياضية، لتفادي هجمات رياضية دقيقة مماثلة.