SlowMist: El incidente de robo en Cetus se debió a una vulnerabilidad de desbordamiento matemático

SlowMist publicó un análisis del incidente de robo en Cetus. El núcleo de este evento fue que el atacante, mediante la construcción cuidadosa de parámetros, provocó un desbordamiento que pudo evadir la detección, y finalmente pudo intercambiar una cantidad mínima de tokens por una enorme cantidad de activos de liquidez.

El atacante explotó la falla en la función checked_shlw para obtener múltiples activos, incluyendo $SUI, vSUI, $USDC, con el costo de un solo token. Parte de los fondos ($USDC, SOL, etc.) fueron transferidos a direcciones EVM a través de $Sui Bridge y otros puentes cross-chain. Además, depositaron 10 millones de dólares en activos en Suilend. Actualmente, 162 millones de dólares en fondos robados han sido congelados por la Fundación SUI. Cetus ya ha corregido la vulnerabilidad y SlowMist recomienda a los desarrolladores validar estrictamente las condiciones límite de las funciones matemáticas.