تعرض Cetus لهجوم ثغرة تجاوز السعة الرياضية، وخسائر تتجاوز 2.3 مليار دولار
في 22 مايو، يبدو أن مزود السيولة في نظام SUI البيئي، Cetus، قد تعرض للاختراق، حيث انخفض عمق صندوق السيولة بشكل كبير، وحدثت انخفاضات في عدة أزواج من الرموز، ويُقدّر أن المبلغ المفقود يتجاوز 230 مليون دولار. بعد ذلك، أصدرت Cetus إعلاناً يفيد بأنها قد أوقفت مؤقتاً العقود الذكية، وهي تحقق في الحادث.
كان جوهر هذا الهجوم هو أن المهاجمين استغلوا ثغرة في النظام ناتجة عن تجاوز رياضي من خلال بناء معلمات بعناية، مما أتاح لهم تبادل كميات صغيرة جدًا من الرموز للحصول على أصول سائلة ضخمة. تتضمن عملية الهجوم بشكل رئيسي الخطوات التالية:
المهاجم استعار كمية كبيرة من haSUI عبر قرض فوري، مما أدى إلى انخفاض سعر المستودع بنسبة 99.90%.
فتح مراكز السيولة في نطاق سعري ضيق للغاية ، حيث عرض النطاق 1.00496621% فقط.
استغلال ثغرة تجاوز الفحص في checked_shlw داخل دالة get_delta_a لإعلان إضافة سيولة ضخمة، ولكن في الواقع تم دفع 1 توكن فقط.
إزالة السيولة، والحصول على كميات كبيرة من رموز haSUI و SUI.
إعادة قرض الوميض، إتمام الهجوم.
نجح المهاجمون في تحقيق أرباح تقدر بنحو 230 مليون دولار، بما في ذلك أصول متعددة مثل SUI و vSUI و USDC. بعد الهجوم، تم تحويل جزء من الأموال عبر جسر متعدد السلاسل إلى عنوان EVM، بما في ذلك حوالي 10 ملايين دولار تم إيداعها في Suilend، و 24,022,896 SUI تم نقلها إلى عنوان جديد.
لحسن الحظ، تم بنجاح تجميد 162 مليون دولار من الأموال المسروقة على SUI بالتعاون مع مؤسسة SUI وأعضاء آخرين في النظام البيئي.
أصدرت Cetus تصحيحًا، والذي صحح بشكل رئيسي خطأ القناع وظروف التحقق في دالة checked_shlw، لضمان الكشف الصحيح عن حالات التجاوز.
سلط هذا الهجوم الضوء على خطورة ثغرات تجاوز السعة الرياضية. يجب على المطورين في تطوير العقود الذكية التحقق بدقة من جميع شروط الحدود للدوال الرياضية، لمنع حدوث هجمات مماثلة مرة أخرى.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 17
أعجبني
17
6
مشاركة
تعليق
0/400
GateUser-1a2ed0b9
· منذ 22 س
الرياضيات مفتوحة ، من يفهم ذلك...
شاهد النسخة الأصليةرد0
GateUser-aa7df71e
· منذ 22 س
انظر، لا بد أن ما قلته صحيح، سوي هي مجرد سلسلة نفايات.
شاهد النسخة الأصليةرد0
GateUser-c802f0e8
· منذ 22 س
اجتذاب القسائم
شاهد النسخة الأصليةرد0
ChainSpy
· منذ 22 س
أوه، سأنضم إلى الأخبار مرة أخرى.
شاهد النسخة الأصليةرد0
ZeroRushCaptain
· منذ 22 س
لقد سقطت ساحة قتال أخرى، وقد أدت مذكرتي لجني الحمقى إلى نتائجها.
تعرضت Cetus لهجوم تجاوز رياضي، مما أدى إلى خسارة 2.3 مليار دولار، وتم تجميد 162 مليون دولار.
تعرض Cetus لهجوم ثغرة تجاوز السعة الرياضية، وخسائر تتجاوز 2.3 مليار دولار
في 22 مايو، يبدو أن مزود السيولة في نظام SUI البيئي، Cetus، قد تعرض للاختراق، حيث انخفض عمق صندوق السيولة بشكل كبير، وحدثت انخفاضات في عدة أزواج من الرموز، ويُقدّر أن المبلغ المفقود يتجاوز 230 مليون دولار. بعد ذلك، أصدرت Cetus إعلاناً يفيد بأنها قد أوقفت مؤقتاً العقود الذكية، وهي تحقق في الحادث.
كان جوهر هذا الهجوم هو أن المهاجمين استغلوا ثغرة في النظام ناتجة عن تجاوز رياضي من خلال بناء معلمات بعناية، مما أتاح لهم تبادل كميات صغيرة جدًا من الرموز للحصول على أصول سائلة ضخمة. تتضمن عملية الهجوم بشكل رئيسي الخطوات التالية:
المهاجم استعار كمية كبيرة من haSUI عبر قرض فوري، مما أدى إلى انخفاض سعر المستودع بنسبة 99.90%.
فتح مراكز السيولة في نطاق سعري ضيق للغاية ، حيث عرض النطاق 1.00496621% فقط.
استغلال ثغرة تجاوز الفحص في checked_shlw داخل دالة get_delta_a لإعلان إضافة سيولة ضخمة، ولكن في الواقع تم دفع 1 توكن فقط.
إزالة السيولة، والحصول على كميات كبيرة من رموز haSUI و SUI.
إعادة قرض الوميض، إتمام الهجوم.
نجح المهاجمون في تحقيق أرباح تقدر بنحو 230 مليون دولار، بما في ذلك أصول متعددة مثل SUI و vSUI و USDC. بعد الهجوم، تم تحويل جزء من الأموال عبر جسر متعدد السلاسل إلى عنوان EVM، بما في ذلك حوالي 10 ملايين دولار تم إيداعها في Suilend، و 24,022,896 SUI تم نقلها إلى عنوان جديد.
لحسن الحظ، تم بنجاح تجميد 162 مليون دولار من الأموال المسروقة على SUI بالتعاون مع مؤسسة SUI وأعضاء آخرين في النظام البيئي.
أصدرت Cetus تصحيحًا، والذي صحح بشكل رئيسي خطأ القناع وظروف التحقق في دالة checked_shlw، لضمان الكشف الصحيح عن حالات التجاوز.
! ضباب بطيء: سرقة سيتوس بقيمة 230 مليون دولار ، تحليل طرق الهجوم وتحويل الأموال
سلط هذا الهجوم الضوء على خطورة ثغرات تجاوز السعة الرياضية. يجب على المطورين في تطوير العقود الذكية التحقق بدقة من جميع شروط الحدود للدوال الرياضية، لمنع حدوث هجمات مماثلة مرة أخرى.