La plataforma DeFi del ecosistema SUI sufre un ataque grave, con pérdidas superiores a 200 millones de dólares.
El 22 de mayo, una plataforma de provisión de liquidez en el ecosistema SUI fue atacada por hackers, causando enormes pérdidas. Varios pares de intercambio de la plataforma experimentaron caídas significativas, y la profundidad del fondo de liquidez se redujo drásticamente, estimándose preliminarmente que las pérdidas superan los 230 millones de dólares.
Tras el incidente, la plataforma publicó rápidamente un anuncio en el que afirmaba que había suspendido la operación del contrato inteligente y que estaba investigando el evento. Al mismo tiempo, varios equipos de seguridad también intervinieron para analizar; a continuación se presenta un análisis detallado de los métodos de ataque y el flujo de fondos.
Análisis de ataques
El núcleo de este ataque es que los hackers, a través de parámetros cuidadosamente construidos, aprovecharon una vulnerabilidad en los cálculos matemáticos del sistema para intercambiar una cantidad mínima de tokens por enormes activos de liquidez. Los pasos específicos son los siguientes:
Los hackers primero piden prestados grandes cantidades de haSUI a través de un préstamo relámpago, lo que provoca que el precio de los pares de trading relacionados caiga un 99.90%.
Luego, abrir una posición de liquidez en un rango de precios extremadamente estrecho.
El paso clave del ataque es declarar la adición de una gran liquidez, pero en realidad solo se proporciona 1 token. Esto aprovecha la vulnerabilidad de detección de desbordamiento en la función get_delta_a del sistema.
Cuando el sistema calcula la cantidad necesaria de haSUI, la falta de detección correcta de desbordamientos lleva a una subestimación grave de la cantidad realmente necesaria.
Por último, el hacker elimina la liquidez para obtener una gran cantidad de tokens y devuelve el préstamo relámpago, completando el ataque.
Análisis del flujo de fondos
Según el seguimiento, los hackers obtuvieron aproximadamente 230 millones de dólares, incluyendo SUI, vSUI, USDC y otros activos. Después de completar el ataque, los hackers transfirieron parte de los activos a través de puentes entre cadenas a múltiples cadenas como Ethereum.
Cabe destacar que, con la asistencia de instituciones como la Fundación SUI, se ha logrado congelar aproximadamente 162 millones de dólares en fondos robados.
En la cadena de Ethereum, los hackers intercambiaron USDT, USDC y SOL obtenidos por medio de un intercambio descentralizado por ETH. Se transfirieron 20,000 ETH a una nueva dirección, y actualmente no ha habido más movimientos.
Situación de reparación
La plataforma ha lanzado un parche que repara la vulnerabilidad que causó este ataque. La reparación se centra principalmente en la función checked_shlw, ajustando las condiciones y umbrales de detección de desbordamientos, asegurando que la detección de desbordamientos se realice correctamente al desplazar valores grandes a la izquierda.
Este evento destaca nuevamente la importancia de la seguridad en los cálculos matemáticos dentro de los protocolos de Finanzas descentralizadas. Los desarrolladores deben prestar especial atención a la verificación de las condiciones de límite de todas las funciones matemáticas para prevenir ataques matemáticos precisos similares.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
8 me gusta
Recompensa
8
4
Compartir
Comentar
0/400
Web3ProductManager
· hace11h
La seguridad de la plataforma es una métrica clave
La plataforma ecológica de SUI fue atacada por un Hacker, con pérdidas de más de 200 millones de dólares, se han congelado 162 millones.
La plataforma DeFi del ecosistema SUI sufre un ataque grave, con pérdidas superiores a 200 millones de dólares.
El 22 de mayo, una plataforma de provisión de liquidez en el ecosistema SUI fue atacada por hackers, causando enormes pérdidas. Varios pares de intercambio de la plataforma experimentaron caídas significativas, y la profundidad del fondo de liquidez se redujo drásticamente, estimándose preliminarmente que las pérdidas superan los 230 millones de dólares.
Tras el incidente, la plataforma publicó rápidamente un anuncio en el que afirmaba que había suspendido la operación del contrato inteligente y que estaba investigando el evento. Al mismo tiempo, varios equipos de seguridad también intervinieron para analizar; a continuación se presenta un análisis detallado de los métodos de ataque y el flujo de fondos.
Análisis de ataques
El núcleo de este ataque es que los hackers, a través de parámetros cuidadosamente construidos, aprovecharon una vulnerabilidad en los cálculos matemáticos del sistema para intercambiar una cantidad mínima de tokens por enormes activos de liquidez. Los pasos específicos son los siguientes:
Los hackers primero piden prestados grandes cantidades de haSUI a través de un préstamo relámpago, lo que provoca que el precio de los pares de trading relacionados caiga un 99.90%.
Luego, abrir una posición de liquidez en un rango de precios extremadamente estrecho.
El paso clave del ataque es declarar la adición de una gran liquidez, pero en realidad solo se proporciona 1 token. Esto aprovecha la vulnerabilidad de detección de desbordamiento en la función get_delta_a del sistema.
Cuando el sistema calcula la cantidad necesaria de haSUI, la falta de detección correcta de desbordamientos lleva a una subestimación grave de la cantidad realmente necesaria.
Por último, el hacker elimina la liquidez para obtener una gran cantidad de tokens y devuelve el préstamo relámpago, completando el ataque.
Análisis del flujo de fondos
Según el seguimiento, los hackers obtuvieron aproximadamente 230 millones de dólares, incluyendo SUI, vSUI, USDC y otros activos. Después de completar el ataque, los hackers transfirieron parte de los activos a través de puentes entre cadenas a múltiples cadenas como Ethereum.
Cabe destacar que, con la asistencia de instituciones como la Fundación SUI, se ha logrado congelar aproximadamente 162 millones de dólares en fondos robados.
En la cadena de Ethereum, los hackers intercambiaron USDT, USDC y SOL obtenidos por medio de un intercambio descentralizado por ETH. Se transfirieron 20,000 ETH a una nueva dirección, y actualmente no ha habido más movimientos.
Situación de reparación
La plataforma ha lanzado un parche que repara la vulnerabilidad que causó este ataque. La reparación se centra principalmente en la función checked_shlw, ajustando las condiciones y umbrales de detección de desbordamientos, asegurando que la detección de desbordamientos se realice correctamente al desplazar valores grandes a la izquierda.
Este evento destaca nuevamente la importancia de la seguridad en los cálculos matemáticos dentro de los protocolos de Finanzas descentralizadas. Los desarrolladores deben prestar especial atención a la verificación de las condiciones de límite de todas las funciones matemáticas para prevenir ataques matemáticos precisos similares.