SlowMist: Причиной взлома Cetus стала уязвимость, связанная с математическим переполнением

SlowMist опубликовала анализ взлома Cetus. Суть инцидента заключается в том, что злоумышленник, тщательно сконструировав параметры, вызвал переполнение, но смог обойти обнаружение, и в конечном итоге обменял огромное количество ликвидных активов на чрезвычайно малую сумму Token.

Злоумышленник использовал дефект функции checked_shlw, чтобы получить доступ к различным активам, включая $SUI, vSUI, $USDC и другие, заплатив всего 1 токен. Злоумышленник перевел часть средств ($USDC, SOL и т. д.) через $Sui Bridge и другие кросс-чейн мосты на EVM-адрес. И внес активы на сумму 10,000,000 долларов США в Suilend. В настоящее время $SUI Foundation заморозил украденные средства на сумму 162,000,000 долларов США. Cetus исправил уязвимость, SlowMist рекомендует разработчикам строго проверять граничные условия математических функций.