
作者:互联网 时间: 2025-05-26 18:24:04
攻击者利用Cetus协议自动做市商逻辑中的关键溢出漏洞,导致用户损失达2.23亿美元,Dedaub的事后分析报告显示。
区块链安全公司Dedaub在报告中指出:"这起事件是近期DeFi领域最严重的攻击之一,根源在于'溢出'保护机制中存在微妙但致命的缺陷。"
Dedaub解释称,该漏洞涉及Cetus自动做市商数学计算中的"溢出"问题——一个错误编写的条件未能正确处理大数值输入的最高有效位,导致"未能产生预期结果"。
系统没有拒绝超限数值,而是将其截断处理,使得输出值远小于应有数值。
这使得攻击者仅需存入单个代币,协议却错误地为其记入巨额流动性头寸。随后攻击者利用该头寸从资金池提取大量真实资产。
据Dedaub透露,区块链安全公司Ottersec早在2023年初审计该协议部署于Aptos网络的代码库时,就曾标记过类似漏洞。
但当代码后续移植至Sui网络后,根本问题依然存在。虽然开发人员尝试实施防护措施,但溢出检查存在缺陷,导致同类漏洞未被察觉。
"这起事件证明DeFi中的边界条件不容忽视,"Dedaub警告称,并强调去中心化金融中的复杂数学计算需要仔细审查和测试。该机构敦促开发者手动验证溢出保护,特别是在处理大数值或高级数学运算时。
Sui网络头部去中心化交易所Cetus于5月22日凌晨遭黑客攻击,造成该生态迄今最大损失之一。初期调查声称事件源于"预言机漏洞"。
此次攻击导致各流动性池损失超2.23亿美元,引发SUI和CETUS等相关代币集体暴跌——攻击发生后数小时内跌幅超40%。该网络原生模因币和小市值代币跌幅更为惨烈,部分暴跌超90%。
作为应对,Sui基金会协调验证节点冻结约1.63亿美元被盗资金。Cetus也已宣布提供500万美元悬赏征集责任人线索。