Plataforma DeFi SUI enfrenta um ataque sério, com perdas superiores a 200 milhões de dólares
No dia 22 de maio, uma plataforma de fornecimento de liquidez no ecossistema SUI foi alvo de um ataque de hackers, resultando em enormes perdas. Vários pares de negociação na plataforma sofreram quedas acentuadas, a profundidade do pool de liquidez encolheu drasticamente, e a perda inicial estimada ultrapassa 230 milhões de dólares.
Após o incidente, a plataforma rapidamente emitiu um comunicado informando que suspendeu a operação dos contratos inteligentes e está investigando o caso. Ao mesmo tempo, várias equipes de segurança também estão analisando, a seguir está uma análise detalhada dos métodos do ataque e do fluxo de fundos.
Análise de Ataque
O núcleo deste ataque é que os hackers, através de parâmetros cuidadosamente construídos, exploraram uma vulnerabilidade nos cálculos matemáticos do sistema, trocando uma quantidade muito pequena de tokens por enormes ativos de liquidez. Os passos específicos são os seguintes:
Os hackers primeiro emprestaram uma grande quantidade de haSUI através de um empréstimo relâmpago, fazendo com que o preço do par de negociação relacionado caísse 99,90%.
Em seguida, abrir uma posição de liquidez em um intervalo de preço muito estreito.
O passo chave do ataque é declarar a adição de uma enorme liquidez, mas na realidade fornece apenas 1 token. Isto explora a vulnerabilidade da verificação de estouro da função get_delta_a no sistema.
Quando o sistema calcula a quantidade necessária de haSUI, a falta de detecção correta de overflow resulta numa subestimação grave da quantidade realmente necessária.
Por fim, o hacker removeu a liquidez, obtendo uma grande quantidade de tokens, e devolveu o empréstimo relâmpago, completando o ataque.
Análise do Fluxo de Capital
Segundo o acompanhamento, os hackers lucraram cerca de 230 milhões de dólares, incluindo SUI, vSUI, USDC e vários outros ativos. Após a conclusão do ataque, os hackers transferiram parte dos ativos através de pontes entre cadeias para várias outras cadeias, como Ethereum.
Vale a pena notar que, com a ajuda de instituições como a Fundação SUI, cerca de 162 milhões de dólares em fundos roubados foram congelados com sucesso.
Na cadeia Ethereum, os hackers trocaram os USDT, USDC e SOL obtidos por ETH através de uma plataforma descentralizada. Dentre estes, 20.000 ETH foram transferidos para um novo endereço, que atualmente não teve mais movimentações.
Situação da reparação
A plataforma já lançou um patch que corrige a vulnerabilidade que levou ao ataque. A correção é principalmente direcionada à função checked_shlw, ajustando as condições e os limiares da verificação de estouro, garantindo que o deslocamento de valores grandes possa detectar corretamente a situação de estouro.
Este evento destacou mais uma vez a importância da segurança dos cálculos matemáticos nos protocolos de Finanças Descentralizadas. Os desenvolvedores devem ter um cuidado especial em verificar todas as condições de limite das funções matemáticas, a fim de prevenir ataques matemáticos precisos semelhantes.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
A plataforma ecológica SUI foi atacada por hackers, resultando em perdas superiores a 200 milhões de dólares, com 162 milhões já congelados.
Plataforma DeFi SUI enfrenta um ataque sério, com perdas superiores a 200 milhões de dólares
No dia 22 de maio, uma plataforma de fornecimento de liquidez no ecossistema SUI foi alvo de um ataque de hackers, resultando em enormes perdas. Vários pares de negociação na plataforma sofreram quedas acentuadas, a profundidade do pool de liquidez encolheu drasticamente, e a perda inicial estimada ultrapassa 230 milhões de dólares.
Após o incidente, a plataforma rapidamente emitiu um comunicado informando que suspendeu a operação dos contratos inteligentes e está investigando o caso. Ao mesmo tempo, várias equipes de segurança também estão analisando, a seguir está uma análise detalhada dos métodos do ataque e do fluxo de fundos.
Análise de Ataque
O núcleo deste ataque é que os hackers, através de parâmetros cuidadosamente construídos, exploraram uma vulnerabilidade nos cálculos matemáticos do sistema, trocando uma quantidade muito pequena de tokens por enormes ativos de liquidez. Os passos específicos são os seguintes:
Os hackers primeiro emprestaram uma grande quantidade de haSUI através de um empréstimo relâmpago, fazendo com que o preço do par de negociação relacionado caísse 99,90%.
Em seguida, abrir uma posição de liquidez em um intervalo de preço muito estreito.
O passo chave do ataque é declarar a adição de uma enorme liquidez, mas na realidade fornece apenas 1 token. Isto explora a vulnerabilidade da verificação de estouro da função get_delta_a no sistema.
Quando o sistema calcula a quantidade necessária de haSUI, a falta de detecção correta de overflow resulta numa subestimação grave da quantidade realmente necessária.
Por fim, o hacker removeu a liquidez, obtendo uma grande quantidade de tokens, e devolveu o empréstimo relâmpago, completando o ataque.
Análise do Fluxo de Capital
Segundo o acompanhamento, os hackers lucraram cerca de 230 milhões de dólares, incluindo SUI, vSUI, USDC e vários outros ativos. Após a conclusão do ataque, os hackers transferiram parte dos ativos através de pontes entre cadeias para várias outras cadeias, como Ethereum.
Vale a pena notar que, com a ajuda de instituições como a Fundação SUI, cerca de 162 milhões de dólares em fundos roubados foram congelados com sucesso.
Na cadeia Ethereum, os hackers trocaram os USDT, USDC e SOL obtidos por ETH através de uma plataforma descentralizada. Dentre estes, 20.000 ETH foram transferidos para um novo endereço, que atualmente não teve mais movimentações.
Situação da reparação
A plataforma já lançou um patch que corrige a vulnerabilidade que levou ao ataque. A correção é principalmente direcionada à função checked_shlw, ajustando as condições e os limiares da verificação de estouro, garantindo que o deslocamento de valores grandes possa detectar corretamente a situação de estouro.
Este evento destacou mais uma vez a importância da segurança dos cálculos matemáticos nos protocolos de Finanças Descentralizadas. Os desenvolvedores devem ter um cuidado especial em verificar todas as condições de limite das funções matemáticas, a fim de prevenir ataques matemáticos precisos semelhantes.