Платформа Децентралізованих фінансів SUI зазнала серйозної атаки, збитки перевищують 200 мільйонів доларів
22 травня в екосистемі SUI один з платформ для надання ліквідності зазнав хакерської атаки, що призвела до величезних збитків. Декілька торгових пар на платформі зазнали значного падіння, глибина ліквідних пулів серйозно скоротилася, попередні оцінки збитків перевищують 230 мільйонів доларів.
Після події платформа швидко опублікувала оголошення, що призупинила роботу смарт-контрактів і проводить розслідування інциденту. Одночасно кілька команд безпеки також залучені до аналізу, нижче наведено детальний аналіз методів атаки та напрямків руху коштів.
Аналіз атак
Основною метою атаки було те, що хакери через ретельно сконструйовані параметри використали математичну уразливість у системі, за допомогою дуже малої кількості токенів отримали величезні ліквідні активи. Конкретні кроки наступні:
Хакери спочатку позичили велику кількість haSUI токенів через миттєвий кредит, що призвело до обвалу цін на відповідні торгові пари на 99,90%.
Потім відкрийте ліквідні позиції в дуже вузькому ціновому діапазоні.
Ключовим кроком атаки є оголошення про додавання величезної ліквідності, але насправді надається лише 1 токен. Це використовує вразливість перевірки переповнення у функції get_delta_a системи.
Коли система обчислює необхідну кількість haSUI, через те, що переповнення не було правильно виявлено, фактична необхідна кількість була серйозно недооцінена.
Нарешті, хакер видалив ліквідність, отримавши велику кількість токенів, і повернув миттєвий кредит, завершивши атаку.
Аналіз грошових потоків
Згідно з відстеженням, хакери отримали прибуток приблизно в 230 мільйонів доларів, включаючи SUI, vSUI, USDC та інші активи. Після завершення атаки хакери перемістили частину активів через кросчейн-мост на Ethereum та інші мережі.
Варто зазначити, що за допомогою таких установ, як фонд SUI, наразі успішно заморожено близько 162 мільйонів доларів США викрадених коштів.
На ланцюзі Ethereum хакери обмінюють отримані USDT, USDC та SOL на ETH через децентралізовані фінансові платформи. З них 20 000 ETH були переведені на нову адресу, наразі більше немає жодних новин.
Ситуація з виправленнями
Платформа випустила патч для виправлення вразливості, яка призвела до цієї атаки. Виправлення стосувалося в основному функції checked_shlw, і коригувало умови судження та пороги виявлення переповнення, щоб гарантувати, що умови переповнення можуть бути правильно визначені при зсуві великих значень вліво.
Ця подія знову підкреслила важливість безпеки математичних розрахунків у DeFi протоколах. Розробники повинні особливо уважно перевіряти всі граничні умови математичних функцій, щоб запобігти подібним точним математичним атакам.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Платформа екосистеми SUI зазнала атаки хакера, збитки перевищують 200 мільйонів доларів, заморожено 162 мільйони.
Платформа Децентралізованих фінансів SUI зазнала серйозної атаки, збитки перевищують 200 мільйонів доларів
22 травня в екосистемі SUI один з платформ для надання ліквідності зазнав хакерської атаки, що призвела до величезних збитків. Декілька торгових пар на платформі зазнали значного падіння, глибина ліквідних пулів серйозно скоротилася, попередні оцінки збитків перевищують 230 мільйонів доларів.
Після події платформа швидко опублікувала оголошення, що призупинила роботу смарт-контрактів і проводить розслідування інциденту. Одночасно кілька команд безпеки також залучені до аналізу, нижче наведено детальний аналіз методів атаки та напрямків руху коштів.
Аналіз атак
Основною метою атаки було те, що хакери через ретельно сконструйовані параметри використали математичну уразливість у системі, за допомогою дуже малої кількості токенів отримали величезні ліквідні активи. Конкретні кроки наступні:
Хакери спочатку позичили велику кількість haSUI токенів через миттєвий кредит, що призвело до обвалу цін на відповідні торгові пари на 99,90%.
Потім відкрийте ліквідні позиції в дуже вузькому ціновому діапазоні.
Ключовим кроком атаки є оголошення про додавання величезної ліквідності, але насправді надається лише 1 токен. Це використовує вразливість перевірки переповнення у функції get_delta_a системи.
Коли система обчислює необхідну кількість haSUI, через те, що переповнення не було правильно виявлено, фактична необхідна кількість була серйозно недооцінена.
Нарешті, хакер видалив ліквідність, отримавши велику кількість токенів, і повернув миттєвий кредит, завершивши атаку.
Аналіз грошових потоків
Згідно з відстеженням, хакери отримали прибуток приблизно в 230 мільйонів доларів, включаючи SUI, vSUI, USDC та інші активи. Після завершення атаки хакери перемістили частину активів через кросчейн-мост на Ethereum та інші мережі.
Варто зазначити, що за допомогою таких установ, як фонд SUI, наразі успішно заморожено близько 162 мільйонів доларів США викрадених коштів.
На ланцюзі Ethereum хакери обмінюють отримані USDT, USDC та SOL на ETH через децентралізовані фінансові платформи. З них 20 000 ETH були переведені на нову адресу, наразі більше немає жодних новин.
Ситуація з виправленнями
Платформа випустила патч для виправлення вразливості, яка призвела до цієї атаки. Виправлення стосувалося в основному функції checked_shlw, і коригувало умови судження та пороги виявлення переповнення, щоб гарантувати, що умови переповнення можуть бути правильно визначені при зсуві великих значень вліво.
Ця подія знову підкреслила важливість безпеки математичних розрахунків у DeFi протоколах. Розробники повинні особливо уважно перевіряти всі граничні умови математичних функцій, щоб запобігти подібним точним математичним атакам.