Sui区块链上的危险问题
5月22日,在Sui社群中发生了一起令人警惕的事件。去中心化交易所Cetus上的代币价格突然大幅下降,流动性资金池被大量提取。估计总损失超过2.3亿美元。慢雾,这个著名的区块链安全团队,已经介入并发现了令人震惊的细节。
核心原因
根据慢雾的分析,问题出在Cetus智能合约代码中的漏洞,具体是checked_shlw函数在get_delta_a函数中未能检测到溢出。系统错误计算了代币数量,混淆了少量和大量。这使攻击者能够利用这一漏洞获取巨大收益。
攻击方式
攻击者通过几个步骤实施攻击:
闪电贷:攻击者借出超过1000万个haSUI代币,使该代币价格下降99.9%。
设置陷阱:创建狭窄的流动性头寸,使系统认为大量流动性正在被添加。
利用溢出:利用溢出漏洞,声称添加数万亿流动性,但实际上只有1个代币。
- 提取资金和收益:攻击者提取虚假流动性并偿还贷款,获得1000万haSUI和570万SUI的收益。
对DeFi开发者的警告
这一事件表明,即使是一个小小的编程错误也可能导致巨大损失,尤其是在DeFi平台中。慢雾警告DeFi开发者需要仔细检查数学函数,特别是与代币计算和流动性公式相关的函数。一行不准确的代码可能会导致严重后果。
