SUI網絡上活躍的去中心化的CETUS展覽被上週近年來最大的Defi漏洞之一擊中。
由於自動做市商的代碼脆弱性,捕獲了不少於2.23億美元。安全公司Dedaub發布了一份廣泛的報告,其中詳細解釋了技術故障和後果。
溢出錯誤讓代碼出軌
該錯誤是在Cetus的自動化做市商(AMM)中。 AMM是一種機制,可確保人們總是可以在去中心化的博覽會上購買或出售加密貨幣,而無需其他人。這是在流動性礦池的幫助下完成的。如果某人想通過泳礦池更改資產,則AMM計算了交易者應該返回多少代幣。
根據Dedaub的說法,它在CETUS的AMM邏輯中出錯了,在數學計算中未正確處理數學計算中的“溢出”錯誤。它們沒有拒絕極值,而是被切斷,創造了錯誤的輸出。這使攻擊者只有一個令牌就能獲得巨大的位置,隨後將真正的資產從拋光劑中掠奪。因此,這不是黑客攻擊,而是對代碼中現有錯誤的明智利用。
審核警告被忽略
痛苦的是,本可以預防此錯誤。 2023年,Cetus在Aptos網絡上播放。當時,Ottersec安全公司已經警告了Aptos網絡審核期間的漏洞。但是,切換到SUI網絡時繼續存在該錯誤。儘管嘗試改善安全性改進,但CETUS團隊在充分檢查溢出條件方面仍未進行,但根據Dedaub的說法:“去中心化融資中的複雜數學需要準確的評估和測試。”
數百萬虧損和價格崩盤
襲擊發生在5月22日清晨,引起了SUI網絡的恐慌銷售。 Sui本人最初幾乎沒有下跌,但現在比襲擊前低15%。 CETUS令牌本身的水龍頭較重。令牌下跌了近50%。在CETUS上交易的較小的模因甚至下跌了90%以上。
SUI基金會設法凍結了大約1.63億美元的被盜資金,但損失仍然相當大。 Cetus最初給黑客提供了歸還大部分資產以換取免疫力的機會。黑客沒有對此發表評論,Cetus現在已承諾將獲得500萬美元的獎勵,以獲取導致識別肇事者的信息。該事件曾經強調了謹慎的審核和在Defi部門內進行嚴格的安全控制的重要性。
資訊來源:由0x資訊編譯自NEWSBIT。版權歸作者Erik Juffermans所有,未經許可,不得轉載
