Постачальники ліквідності екосистеми SUI зазнали масованої атаки, збитки перевищили 230 мільйонів доларів
22 травня один з постачальників ліквідності в екосистемі SUI зазнав значної атаки, що призвело до різкого зниження глибини його ліквіднісного пулу. Кілька торгових пар токенів зазнали зниження, очікувані втрати перевищують 230 мільйонів доларів. Протокол потім оприлюднив оголошення, в якому йдеться, що з міркувань безпеки тимчасово призупинено смарт-контракт, команда проводить розслідування події і найближчим часом опублікує подальшу заяву.
Команда безпеки швидко втрутилася для аналізу цього інциденту. Зловмисники скористалися ретельно сконструйованими параметрами, використавши математичну уразливість переповнення в системі. Це дозволило зловмисникам обміняти дуже невелику кількість токенів на величезні ліквідні активи.
Процес атаки в основному включає такі етапи:
Атакуючий спочатку позичає велику кількість haSUI токенів через闪电贷, що призводить до обвалу ціни в пулі на 99,90%.
Після цього відкрийте ліквідні позиції в дуже вузькому ціновому діапазоні.
Ядром атаки є те, що атакуючий заявляє про додавання величезної ліквідності, але система через уразливість приймає лише 1 токен.
Нарешті, зловмисник видалив ліквідність і отримав велику кількість токенів у виграші.
Після завершення атаки, атакуючий повертає кредит на блискавку, чистий прибуток становить близько 10 мільйонів haSUI та 5,7 мільйона SUI.
Цей напад виявив серйозні недоліки в реалізації математичних функцій у смарт-контрактах. Особливо під час обробки великих чисел, не вдалося правильно виявити та обробити ситуації переповнення. Це дало можливість зловмисникам скористатися точною обробкою, щоб обійти перевірки безпеки.
Згідно з аналізом, активи, які отримали прибуток зловмисники, включають SUI, vSUI, USDC та інші токени, загальна вартість яких приблизно 230 мільйонів доларів США. Після атаки частина коштів була переміщена на інші блокчейн-мережі через крос-чейн міст.
На щастя, завдяки співпраці Фонду SUI та інших учасників екосистеми, наразі вдалося успішно заморозити близько 162 мільйонів доларів викрадених коштів. Це демонструє важливість швидкої реакції та міжекосистемної співпраці.
Ця подія ще раз нагадала про важливість безпеки смарт-контрактів, особливо при виконанні складних математичних обчислень. Розробники повинні більш ретельно перевіряти всі граничні умови математичних функцій, щоб запобігти використанню подібних вразливостей. Водночас це також підкреслює необхідність співпраці всіх сторін екосистеми для реагування на безпекові інциденти.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Екосистема SUI зазнала атаки на 230 мільйонів доларів, постраждали постачальники ліквідності.
Постачальники ліквідності екосистеми SUI зазнали масованої атаки, збитки перевищили 230 мільйонів доларів
22 травня один з постачальників ліквідності в екосистемі SUI зазнав значної атаки, що призвело до різкого зниження глибини його ліквіднісного пулу. Кілька торгових пар токенів зазнали зниження, очікувані втрати перевищують 230 мільйонів доларів. Протокол потім оприлюднив оголошення, в якому йдеться, що з міркувань безпеки тимчасово призупинено смарт-контракт, команда проводить розслідування події і найближчим часом опублікує подальшу заяву.
Команда безпеки швидко втрутилася для аналізу цього інциденту. Зловмисники скористалися ретельно сконструйованими параметрами, використавши математичну уразливість переповнення в системі. Це дозволило зловмисникам обміняти дуже невелику кількість токенів на величезні ліквідні активи.
Процес атаки в основному включає такі етапи:
Атакуючий спочатку позичає велику кількість haSUI токенів через闪电贷, що призводить до обвалу ціни в пулі на 99,90%.
Після цього відкрийте ліквідні позиції в дуже вузькому ціновому діапазоні.
Ядром атаки є те, що атакуючий заявляє про додавання величезної ліквідності, але система через уразливість приймає лише 1 токен.
Нарешті, зловмисник видалив ліквідність і отримав велику кількість токенів у виграші.
Після завершення атаки, атакуючий повертає кредит на блискавку, чистий прибуток становить близько 10 мільйонів haSUI та 5,7 мільйона SUI.
Цей напад виявив серйозні недоліки в реалізації математичних функцій у смарт-контрактах. Особливо під час обробки великих чисел, не вдалося правильно виявити та обробити ситуації переповнення. Це дало можливість зловмисникам скористатися точною обробкою, щоб обійти перевірки безпеки.
Згідно з аналізом, активи, які отримали прибуток зловмисники, включають SUI, vSUI, USDC та інші токени, загальна вартість яких приблизно 230 мільйонів доларів США. Після атаки частина коштів була переміщена на інші блокчейн-мережі через крос-чейн міст.
На щастя, завдяки співпраці Фонду SUI та інших учасників екосистеми, наразі вдалося успішно заморозити близько 162 мільйонів доларів викрадених коштів. Це демонструє важливість швидкої реакції та міжекосистемної співпраці.
Ця подія ще раз нагадала про важливість безпеки смарт-контрактів, особливо при виконанні складних математичних обчислень. Розробники повинні більш ретельно перевіряти всі граничні умови математичних функцій, щоб запобігти використанню подібних вразливостей. Водночас це також підкреслює необхідність співпраці всіх сторін екосистеми для реагування на безпекові інциденти.