Sui區塊鏈上的危險問題
5月22日,在Sui社群中發生了一起令人警惕的事件。去中心化交易所Cetus上的代幣價格突然大幅下降,流動性資金池被大量提取。估計總損失超過2.3億美元。慢霧,這個著名的區塊鏈安全團隊,已經介入並發現了令人震驚的細節。
核心原因
根據慢霧的分析,問題出在Cetus智慧合約程式碼中的漏洞,具體是checked_shlw函式在get_delta_a函式中未能檢測到溢位。系統錯誤計算了代幣數量,混淆了少量和大量。這使攻擊者能夠利用這一漏洞獲取巨大收益。
攻擊方式
攻擊者通過幾個步驟實施攻擊:
閃電貸:攻擊者借出超過1000萬個haSUI代幣,使該代幣價格下降99.9%。
設定陷阱:建立狹窄的流動性頭寸,使系統認為大量流動性正在被新增。
利用溢位:利用溢位漏洞,聲稱新增數萬億流動性,但實際上只有1個代幣。
- 提取資金和收益:攻擊者提取虛假流動性並償還貸款,獲得1000萬haSUI和570萬SUI的收益。
對DeFi開發者的警告
這一事件表明,即使是一個小小的程式設計錯誤也可能導致巨大損失,尤其是在DeFi平臺中。慢霧警告DeFi開發者需要仔細檢查數學函式,特別是與代幣計算和流動性公式相關的函式。一行不準確的程式碼可能會導致嚴重後果。
