This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
SUIエコシステムプラットフォームがハッカーの攻撃を受け、損失は2億ドルを超え、1.62億が凍結されました。
SUIエコシステム分散型金融プラットフォームが深刻な攻撃を受け、損失は2億ドルを超えました
5月22日、SUIエコシステム内の流動性提供プラットフォームがハッキングされ、巨額の損失を被りました。該プラットフォームの複数の取引ペアが大幅に下落し、流動性プールの深さが深刻に縮小しました。初歩的な推定では、損失額は2.3億ドルを超えています。
事後、プラットフォームは迅速に公告を発表し、スマートコントラクトの運用を停止し、事件について調査を開始したと述べた。また、複数のセキュリティチームも分析に介入しており、以下は今回の攻撃手法及び資金の流れについての詳細な解析である。
攻撃分析
今回の攻撃の核心は、ハッカーが巧妙に構成されたパラメータを通じて、システム内の数学的計算の脆弱性を利用し、わずかなトークンで巨額の流動性資産を得たことです。具体的な手順は以下の通りです:
ハッカーはまずフラッシュローンを通じて大量のhaSUIトークンを借り出し、関連する取引ペアの価格が99.90%暴落しました。
その後、非常に狭い価格帯内で流動性ポジションを開きます。
攻撃の重要なステップは、巨額の流動性を追加すると宣言することですが、実際には1つのトークンしか提供しません。これは、システム内のget_delta_a関数のオーバーフローチェックの脆弱性を利用しています。
システムが必要なhaSUIの数量を計算する際に、オーバーフローが正しく検出されなかったため、実際に必要な数量が深刻に過小評価されました。
最後に、ハッカーは流動性を除去し、大量のトークンを獲得し、フラッシュローンを返済して攻撃を完了しました。
! スローミスト:2億3000万ドルを盗まれたCetus、攻撃方法と資金移動の分析
資金の流れの分析
追跡によると、ハッカーは約2.3億ドルを利益として得ており、SUI、vSUI、USDCなどのさまざまな資産を含んでいます。攻撃が完了した後、ハッカーは一部の資産をクロスチェーンブリッジを通じてイーサリアムなどの複数のチェーンに移転しました。
注目すべきは、SUI財団などの機関の協力を得て、現在約1.62億ドルの盗まれた資金が成功裏に凍結されたことです。
イーサリアムチェーン上で、ハッカーは取得したUSDT、USDC、SOLなどを分散型取引所でETHに交換します。そのうち20,000 ETHが新しいアドレスに移され、現在もさらなる動きはありません。
! スローミスト:2億3000万ドルを盗まれたCetus、攻撃方法と資金移動の分析
状況を解決
プラットフォーム方は、今回の攻撃を引き起こした脆弱性を修正するパッチを公開しました。修正は主にchecked_shlw関数に対して行われ、オーバーフロー検出の判断条件と閾値が調整され、大きな数値の左シフト時にオーバーフロー状況を正しく検出できるようにされています。
この事件は再び分散型金融プロトコルにおける数学的計算の安全性の重要性を浮き彫りにしました。開発者はすべての数学関数の境界条件を検証することに特に注意を払うべきであり、類似の精密な数学攻撃を防ぐ必要があります。
! スローミスト:2億3000万ドルを盗まれたCetus、攻撃方法と資金移動の分析