慢雾：Cetusの盗難事件は数学的オーバーフローの脆弱性によるもの

慢雾はCetus盗難事件の分析を発表しました。この事件の核心は、攻撃者が巧妙に構築したパラメータを用いてオーバーフローを発生させつつ検出を回避し、極めて少額のTokenで巨額の流動性資産を交換したことにあります。

攻撃者はchecked_shlw関数の欠陥を利用し、1つのトークンのコストで$SUI、vSUI、$USDCなど複数の資産を取得しました。攻撃者は一部の資金（$USDC、SOLなど）を$Sui Bridgeなどを通じてクロスチェーンでEVMアドレスに送金し、Suilendに1000万ドルの資産を預けました。現在、1億6200万ドル相当の盗難資金は$SUI財団によって凍結されています。Cetusは既に脆弱性を修正しており、慢雾は開発者に対し数学関数の境界条件を厳密に検証することを推奨しています。