배경
5월 22일, 커뮤니티 소식에 따르면 수이(SUI) 생태계의 유동성 공급자 세투스(Cetus)가 의심스러운 공격을 받아 유동성 풀 깊이가 크게 감소했으며, 세투스의 여러 토큰 거래 쌍에서 하락이 발생했고, 예상 손실 금액은 2.3억 달러를 초과했습니다. 이후 세투스는 공지를 통해 "우리 프로토콜에서 한 사건을 감지했으며, 안전을 위해 스마트 계약을 일시 중단했습니다. 현재 팀에서 해당 사건을 조사 중이며, 곧 추가 조사 성명을 발표할 예정입니다."라고 밝혔습니다.
사건 발생 후, 슬로우 미스트 보안 팀이 즉시 분석에 착수하고 보안 경고를 발표했습니다. 다음은 공격 방법 및 자금 이동 상황에 대한 상세 분석입니다.
[이하 생략]
다행히도, 세투스(Cetus)에 따르면, 수이(SUI) 재단 및 기타 생태계 구성원들의 협력을 통해 현재 수이(SUI)에서 1억 6,200만 달러의 도난 자금을 성공적으로 동결했습니다.
다음으로, 온체인 자금세탁 방지 및 추적 도구인 미스트랙(MistTrack)을 사용하여 이더리움 가상 머신(EVM)에서 크로스체인 자금을 받은 주소 0x89012a55cd6b88e407c9d4ae9b3425f55924919b를 분석해보겠습니다. 해당 주소는 바이낸스 코인(BSC)에서 5.2319 바이낸스 코인(BNB)을 받았으며, 아직 인출하지 않았습니다:
해당 주소는 이더리움에서 3,000개의 테더 USDT(USDT), 4,088만개의 USDC, 1,771개의 솔라나(SOL), 그리고 8,130.4개의 이더리움(ETH)을 받았습니다. 이 중 테더 USDT(USDT), USDC, 솔라나(SOL)는 coW Swap, ParaSwap 등을 통해 이더리움(ETH)으로 교환되었습니다:
그 후, 해당 주소는 20,000개의 이더리움(ETH)을 주소 0x0251536bfcf144b88e1afa8fe60184ffdb4caf16으로 전송했으며, 아직 인출하지 않았습니다:
현재 해당 주소의 이더리움(Ethereum) 상 잔액은 3,244 이더리움(ETH)입니다:
미스트랙(MistTrack)은 위의 관련 주소들을 악성 주소 데이터베이스에 추가했으며, 동시에 우리는 해당 주소의 잔액을 지속적으로 모니터링할 것입니다.
요약
이번 공격은 수학적 오버플로우 취약점의 위력을 보여주었습니다. 공격자는 정확한 계산을 통해 특정 매개변수를 선택하고, checked_shlw 함수의 결함을 이용해 1개의 토큰 비용으로 수십억 달러의 유동성을 얻었습니다. 이는 매우 정교한 수학적 공격으로, 슬로우 미스트(SlowMist) 보안 팀은 개발자들에게 스마트 계약 개발 시 모든 수학 함수의 경계 조건을 엄격히 검증할 것을 권장합니다.
블록비츠(BlockBeats) 공식 커뮤니티에 가입하세요:
텔레그램 구독 그룹: https://t.me/theblockbeats
텔레그램 교류 그룹: https://t.me/BlockBeats_App
트위터 공식 계정: https://twitter.com/BlockBeatsAsia
