Platform Keuangan Desentralisasi SUI mengalami serangan serius, kerugian melebihi 200 juta dolar AS
Pada 22 Mei, sebuah platform penyedia likuiditas dalam ekosistem SUI diserang oleh hacker, mengakibatkan kerugian besar. Beberapa pasangan perdagangan di platform tersebut mengalami penurunan drastis, kedalaman kolam likuiditas menyusut secara signifikan, dengan estimasi awal kerugian melebihi 230 juta dolar AS.
Setelah kejadian, pihak platform dengan cepat mengeluarkan pengumuman bahwa mereka telah menghentikan operasi kontrak pintar dan sedang menyelidiki peristiwa tersebut. Sementara itu, beberapa tim keamanan juga terlibat dalam analisis, berikut adalah analisis rinci tentang metode serangan kali ini dan aliran dana.
Analisis Serangan
Inti dari serangan ini adalah para hacker menggunakan parameter yang dirancang dengan cermat, memanfaatkan celah perhitungan matematis dalam sistem, untuk menukar sejumlah kecil token dengan aset likuiditas yang sangat besar. Langkah-langkah spesifiknya adalah sebagai berikut:
Hacker pertama-tama meminjam sejumlah besar token haSUI melalui pinjaman kilat, yang menyebabkan harga pasangan perdagangan terkait anjlok 99,90%.
Selanjutnya membuka posisi likuiditas dalam kisaran harga yang sangat sempit.
Langkah kunci serangan adalah menyatakan menambahkan likuiditas besar, tetapi sebenarnya hanya menyediakan 1 token. Ini mengeksploitasi kerentanan deteksi overflow dari fungsi get_delta_a dalam sistem.
Ketika sistem menghitung jumlah haSUI yang diperlukan, karena overflow tidak terdeteksi dengan benar, mengakibatkan perkiraan serius terhadap jumlah yang sebenarnya diperlukan.
Terakhir, hacker menghapus likuiditas untuk mendapatkan banyak token, dan mengembalikan pinjaman kilat, menyelesaikan serangan.
Analisis Aliran Dana
Menurut pelacakan, peretas mendapatkan keuntungan sekitar 2,3 juta dolar AS, termasuk SUI, vSUI, USDC, dan berbagai aset lainnya. Setelah serangan selesai, peretas memindahkan sebagian aset melalui jembatan lintas rantai ke beberapa rantai seperti Ethereum.
Perlu dicatat bahwa dengan bantuan lembaga seperti Yayasan SUI, sekitar 162 juta dolar AS dari dana yang dicuri telah berhasil dibekukan.
Di jaringan Ethereum, hacker menukar USDT, USDC, dan SOL yang diperoleh melalui bursa terdesentralisasi menjadi ETH. Di antaranya, 20.000 ETH telah dipindahkan ke alamat baru, dan saat ini belum ada perkembangan lebih lanjut.
Situasi Perbaikan
Pihak platform telah merilis patch yang memperbaiki kerentanan yang menyebabkan serangan ini. Perbaikan terutama ditujukan pada fungsi checked_shlw, yang menyesuaikan kondisi dan ambang batas deteksi overflow, untuk memastikan bahwa saat angka besar digeser ke kiri, situasi overflow dapat terdeteksi dengan benar.
Kejadian kali ini kembali menyoroti pentingnya keamanan perhitungan matematis dalam protokol Keuangan Desentralisasi. Para pengembang harus sangat memperhatikan untuk memverifikasi semua kondisi batas fungsi matematis, guna mencegah serangan matematis yang serupa.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Platform ekosistem SUI diserang Hacker, kerugian lebih dari 200 juta dolar, telah membekukan 162 juta.
Platform Keuangan Desentralisasi SUI mengalami serangan serius, kerugian melebihi 200 juta dolar AS
Pada 22 Mei, sebuah platform penyedia likuiditas dalam ekosistem SUI diserang oleh hacker, mengakibatkan kerugian besar. Beberapa pasangan perdagangan di platform tersebut mengalami penurunan drastis, kedalaman kolam likuiditas menyusut secara signifikan, dengan estimasi awal kerugian melebihi 230 juta dolar AS.
Setelah kejadian, pihak platform dengan cepat mengeluarkan pengumuman bahwa mereka telah menghentikan operasi kontrak pintar dan sedang menyelidiki peristiwa tersebut. Sementara itu, beberapa tim keamanan juga terlibat dalam analisis, berikut adalah analisis rinci tentang metode serangan kali ini dan aliran dana.
Analisis Serangan
Inti dari serangan ini adalah para hacker menggunakan parameter yang dirancang dengan cermat, memanfaatkan celah perhitungan matematis dalam sistem, untuk menukar sejumlah kecil token dengan aset likuiditas yang sangat besar. Langkah-langkah spesifiknya adalah sebagai berikut:
Hacker pertama-tama meminjam sejumlah besar token haSUI melalui pinjaman kilat, yang menyebabkan harga pasangan perdagangan terkait anjlok 99,90%.
Selanjutnya membuka posisi likuiditas dalam kisaran harga yang sangat sempit.
Langkah kunci serangan adalah menyatakan menambahkan likuiditas besar, tetapi sebenarnya hanya menyediakan 1 token. Ini mengeksploitasi kerentanan deteksi overflow dari fungsi get_delta_a dalam sistem.
Ketika sistem menghitung jumlah haSUI yang diperlukan, karena overflow tidak terdeteksi dengan benar, mengakibatkan perkiraan serius terhadap jumlah yang sebenarnya diperlukan.
Terakhir, hacker menghapus likuiditas untuk mendapatkan banyak token, dan mengembalikan pinjaman kilat, menyelesaikan serangan.
Analisis Aliran Dana
Menurut pelacakan, peretas mendapatkan keuntungan sekitar 2,3 juta dolar AS, termasuk SUI, vSUI, USDC, dan berbagai aset lainnya. Setelah serangan selesai, peretas memindahkan sebagian aset melalui jembatan lintas rantai ke beberapa rantai seperti Ethereum.
Perlu dicatat bahwa dengan bantuan lembaga seperti Yayasan SUI, sekitar 162 juta dolar AS dari dana yang dicuri telah berhasil dibekukan.
Di jaringan Ethereum, hacker menukar USDT, USDC, dan SOL yang diperoleh melalui bursa terdesentralisasi menjadi ETH. Di antaranya, 20.000 ETH telah dipindahkan ke alamat baru, dan saat ini belum ada perkembangan lebih lanjut.
Situasi Perbaikan
Pihak platform telah merilis patch yang memperbaiki kerentanan yang menyebabkan serangan ini. Perbaikan terutama ditujukan pada fungsi checked_shlw, yang menyesuaikan kondisi dan ambang batas deteksi overflow, untuk memastikan bahwa saat angka besar digeser ke kiri, situasi overflow dapat terdeteksi dengan benar.
Kejadian kali ini kembali menyoroti pentingnya keamanan perhitungan matematis dalam protokol Keuangan Desentralisasi. Para pengembang harus sangat memperhatikan untuk memverifikasi semua kondisi batas fungsi matematis, guna mencegah serangan matematis yang serupa.