Cetus事后分析揭示2.23亿美元漏洞背后的溢出错误

攻击者利用Cetus协议自动做市商逻辑中的关键溢出漏洞，导致用户损失达2.23亿美元，Dedaub的事后分析报告显示。

区块链安全公司Dedaub在报告中指出："这起事件是近期DeFi领域最严重的攻击之一，根源在于'溢出'保护机制中存在微妙但致命的缺陷。"

Dedaub解释称，该漏洞涉及Cetus自动做市商数学计算中的"溢出"问题——一个错误编写的条件未能正确处理大数值输入的最高有效位，导致"未能产生预期结果"。

系统没有拒绝超限数值，而是将其截断处理，使得输出值远小于应有数值。

这使得攻击者仅需存入单个代币，协议却错误地为其记入巨额流动性头寸。随后攻击者利用该头寸从资金池提取大量真实资产。

据Dedaub透露，区块链安全公司Ottersec早在2023年初审计该协议部署于Aptos网络的代码库时，就曾标记过类似漏洞。

但当代码后续移植至Sui网络后，根本问题依然存在。虽然开发人员尝试实施防护措施，但溢出检查存在缺陷，导致同类漏洞未被察觉。

"这起事件证明DeFi中的边界条件不容忽视，"Dedaub警告称，并强调去中心化金融中的复杂数学计算需要仔细审查和测试。该机构敦促开发者手动验证溢出保护，特别是在处理大数值或高级数学运算时。

Cetus攻击引发抛售潮

Sui网络头部去中心化交易所Cetus于5月22日凌晨遭黑客攻击，造成该生态迄今最大损失之一。初期调查声称事件源于"预言机漏洞"。

此次攻击导致各流动性池损失超2.23亿美元，引发SUI和CETUS等相关代币集体暴跌——攻击发生后数小时内跌幅超40%。该网络原生模因币和小市值代币跌幅更为惨烈，部分暴跌超90%。

作为应对，Sui基金会协调验证节点冻结约1.63亿美元被盗资金。Cetus也已宣布提供500万美元悬赏征集责任人线索。