SlowMist випустила детальний аналіз інциденту з крадіжкою $230 мільйонів у Cetus

SlowMist офіційно оприлюднив аналіз інциденту з крадіжкою Cetus, зазначивши, що основою цієї події було те, що зловмисник створив параметри, щоб викликати переповнення, обходячи виявлення, врешті-решт обмінюючи мінімальну кількість токенів на велику кількість ліквідних активів.

SlowMist вказав, що зловмисник точно розрахував і вибрав конкретні параметри, використовуючи вразливість у функції checked_shlw, щоб отримати ліквідність вартістю мільярди за вартість 1 токена. Це була надзвичайно складна математична атака, і команда безпеки SlowMist радить розробникам ретельно перевіряти всі граничні умови математичних функцій у розробці смарт-контрактів.

Раніше, 22 травня, згідно з повідомленнями спільноти, постачальник ліквідності Cetus в екосистемі SUI підозрювався в атаці, з значним зниженням глибини пулу ліквідності, і кілька торгових пар токенів на Cetus зазнали падіння, з оціненими втратами понад $230 мільйонів. Згодом Cetus оголосив, що в протоколі було виявлено інцидент, і з міркувань безпеки смарт-контракт тимчасово призупинено, а команда розслідує інцидент.