수이(SUI) 온체인의 위험한 문제
5월 22일, 수이(SUI) 블록체인 커뮤니티에서 경고할 만한 사건이 발생했습니다. 탈중앙화 거래소 Cetus의 가격이 갑자기 급격히 하락했고, 유동성 풀이 고갈되었습니다. 총 피해액은 2억 3천만 달러를 초과하는 것으로 추정됩니다. 유명한 블록체인 보안팀 SlowMist가 조사에 나섰고 충격적인 사실을 발견했습니다.
핵심 원인
SlowMist의 분석에 따르면, 문제는 Cetus의 스마트 계약 코드의 취약점, 특히 get_delta_a 함수에서 오버플로우를 감지하지 못하는 checked_shlw 함수에 있었습니다. 시스템이 토큰 양을 잘못 계산하여 소량과 대량을 혼동했습니다. 이를 통해 공격자가 이 틈새를 이용해 엄청난 이익을 얻을 수 있었습니다.
악용 방식
공격자는 다음과 같은 단계로 공격을 실행했습니다:
플래시론: 공격자는 1천만 개 이상의 haSUI 토큰을 대출받아 해당 토큰 가격을 99.9% 하락시켰습니다.
함정 설치: 시스템이 대량의 유동성이 추가되고 있다고 오인하도록 좁은 유동성 포지션을 생성했습니다.
오버플로우 악용: 오버플로우 취약점을 이용해 수천억 개의 유동성을 추가했다고 주장했지만, 실제로는 1개의 토큰만 있었습니다.
- 자금 인출 및 이익: 공격자는 가짜 유동성을 인출하고 대출금을 상환하여 1천만 개의 haSUI와 570만 개의 수이(SUI)로 이익을 얻었습니다.
DeFi 개발자들에 대한 경고
이 사건은 작은 프로그래밍 오류가 DeFi 플랫폼에서 큰 손실로 이어질 수 있음을 보여줍니다. SlowMist는 DeFi 개발자들에게 토큰 계산 및 유동성 공식과 관련된 수학 함수를 철저히 검토할 것을 경고했습니다. 부정확한 한 줄의 코드가 심각한 결과를 초래할 수 있습니다.
