- Tema
29k Popularidad
19k Popularidad
61k Popularidad
31k Popularidad
3k Popularidad
96k Popularidad
28k Popularidad
27k Popularidad
7k Popularidad
18k Popularidad
- Anclado
29k Popularidad
19k Popularidad
61k Popularidad
31k Popularidad
3k Popularidad
96k Popularidad
28k Popularidad
27k Popularidad
7k Popularidad
18k Popularidad
Cetus sufrió un ataque con pérdidas de 230 millones de dólares, la seguridad del ecosistema SUI suena la alarma.
Cetus atacado, pérdidas superan los 230 millones de dólares
El 22 de mayo, el proveedor de liquidez del ecosistema SUI, Cetus, supuestamente sufrió un ataque, varios pares de negociación experimentaron una fuerte caída, la profundidad del pool de liquidez disminuyó drásticamente, y se estima que las pérdidas superan los 230 millones de dólares. Cetus posteriormente emitió un anuncio indicando que había suspendido el contrato inteligente y que está llevando a cabo una investigación sobre el evento.
El equipo de seguridad realizó un análisis profundo del ataque, revelando las tácticas específicas de los atacantes.
Análisis de Ataques
Un atacante aprovechó una vulnerabilidad del sistema mediante la construcción cuidadosa de parámetros para realizar una operación que intercambia una cantidad mínima de tokens por una enorme liquidez. Los pasos específicos son los siguientes:
Prestar una gran cantidad de haSUI a través de un préstamo relámpago provocó una caída del 99.90% en el precio del fondo.
Abrir posiciones de liquidez en un rango de precios muy estrecho, con un ancho de rango de solo 1.00496621%.
Se declara la adición de una gran liquidez, pero en realidad solo se paga 1 token A. Este es el núcleo del ataque, que explota una vulnerabilidad en la detección de desbordamiento de checked_shlw en la función get_delta_a.
El sistema presenta una desviación grave al calcular la cantidad necesaria de haSUI, lo que lleva a un error de juicio que permite a los atacantes intercambiar una cantidad mínima de tokens por grandes activos de liquidez.
Finalmente, retira la liquidez, obtén enormes ganancias en tokens y completa el ataque.
Reparación del proyecto
Después del ataque, Cetus lanzó rápidamente un parche de reparación. Principalmente se corrigieron la máscara de error y las condiciones de juicio en la función checked_shlw, asegurando que pudiera detectar correctamente las situaciones que podrían causar desbordamientos.
Análisis de flujo de fondos
Los atacantes obtuvieron aproximadamente 230 millones de dólares, incluyendo múltiples activos como SUI, vSUI, USDC, entre otros. Parte de los fondos se transfirieron a direcciones EVM a través de un puente entre cadenas. Aproximadamente 10 millones de dólares en activos fueron depositados en Suilend, y 24 millones de SUI fueron transferidos a una nueva dirección sin haber sido retirados aún.
Afortunadamente, la Fundación SUI y otras partes involucradas han logrado congelar aproximadamente 162 millones de dólares en fondos robados en la cadena SUI.
En la cadena EVM, el atacante convierte parte de los fondos a ETH y transfiere 20,000 ETH a una nueva dirección. Actualmente, el saldo de esa dirección en Ethereum es de 3,244 ETH.
Resumen
Este ataque demuestra plenamente el poder de la vulnerabilidad de desbordamiento matemático. Los atacantes lograron obtener enormes beneficios al aprovechar los defectos en las funciones del contrato inteligente mediante cálculos precisos y selección de parámetros. Esto recuerda a los desarrolladores que deben verificar estrictamente todas las condiciones de frontera de las funciones matemáticas al desarrollar contratos, para prevenir ataques similares.