Nền tảng Tài chính phi tập trung SUI遭遇严重攻击,损失超2亿美元
Vào ngày 22 tháng 5, một nền tảng cung cấp thanh khoản trong hệ sinh thái SUI đã bị tấn công bởi hacker, gây ra thiệt hại lớn. Nhiều cặp giao dịch của nền tảng này đã giảm mạnh, độ sâu của các pool thanh khoản đã giảm nghiêm trọng, ước tính thiệt hại ban đầu vượt quá 230 triệu đô la.
Sau sự việc, nền tảng đã nhanh chóng phát hành thông báo cho biết đã tạm ngừng hoạt động của hợp đồng thông minh và đang tiến hành điều tra sự việc. Đồng thời, nhiều đội ngũ an ninh cũng đã can thiệp phân tích, dưới đây là phân tích chi tiết về phương pháp tấn công lần này và dòng tiền.
Phân tích tấn công
Lõi của cuộc tấn công này là hacker đã lợi dụng lỗ hổng tính toán toán học trong hệ thống bằng cách sử dụng các tham số được cấu trúc tinh vi, đổi một lượng token rất nhỏ để nhận được khối lượng tài sản thanh khoản khổng lồ. Các bước cụ thể như sau:
Hacker trước tiên mượn một lượng lớn haSUI token thông qua vay chớp nhoáng, dẫn đến giá của các cặp giao dịch liên quan giảm 99,90%.
Sau đó mở vị thế thanh khoản trong một khoảng giá cực hẹp.
Bước quan trọng của cuộc tấn công là tuyên bố thêm thanh khoản khổng lồ, nhưng thực tế chỉ cung cấp 1 mã thông báo. Điều này khai thác lỗ hổng kiểm tra tràn trong hàm get_delta_a của hệ thống.
Khi hệ thống tính toán số lượng haSUI cần thiết, do việc tràn số không được phát hiện đúng cách, dẫn đến việc ước lượng nghiêm trọng số lượng thực tế cần thiết.
Cuối cùng, hacker gỡ bỏ tính thanh khoản để nhận được một lượng lớn token và hoàn trả khoản vay chớp nhoáng, hoàn thành cuộc tấn công.
Phân tích dòng tiền
Theo dõi, hacker đã thu lợi khoảng 230 triệu USD, bao gồm nhiều loại tài sản như SUI, vSUI, USDC. Sau khi cuộc tấn công hoàn thành, hacker đã chuyển một phần tài sản qua cầu nối đa chuỗi sang nhiều chuỗi khác như Ethereum.
Đáng chú ý là, với sự hỗ trợ của các tổ chức như quỹ SUI, hiện tại đã thành công trong việc đóng băng khoảng 162 triệu USD số tiền bị đánh cắp.
Trên chuỗi Ethereum, hacker đã đổi các loại tiền như USDT, USDC và SOL lấy ETH thông qua nền tảng giao dịch phi tập trung. Trong đó, 20,000 ETH đã được chuyển đến một địa chỉ mới, hiện vẫn chưa có động thái gì thêm.
Tình hình sửa chữa
Nền tảng đã phát hành bản vá để khắc phục lỗ hổng gây ra cuộc tấn công này. Việc sửa chữa chủ yếu tập trung vào hàm checked_shlw, điều chỉnh điều kiện và ngưỡng kiểm tra tràn, đảm bảo rằng khi dịch trái giá trị lớn có thể phát hiện đúng tình huống tràn.
Sự kiện lần này lại làm nổi bật tầm quan trọng của việc đảm bảo an toàn tính toán toán học trong các giao thức Tài chính phi tập trung. Các nhà phát triển cần đặc biệt chú ý đến việc xác minh tất cả các điều kiện biên của các hàm toán học, để phòng ngừa các cuộc tấn công toán học tinh vi tương tự.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Nền tảng sinh thái SUI遭黑客攻击, tổn thất hơn 200 triệu USD, đã đóng băng 162 triệu.
Nền tảng Tài chính phi tập trung SUI遭遇严重攻击,损失超2亿美元
Vào ngày 22 tháng 5, một nền tảng cung cấp thanh khoản trong hệ sinh thái SUI đã bị tấn công bởi hacker, gây ra thiệt hại lớn. Nhiều cặp giao dịch của nền tảng này đã giảm mạnh, độ sâu của các pool thanh khoản đã giảm nghiêm trọng, ước tính thiệt hại ban đầu vượt quá 230 triệu đô la.
Sau sự việc, nền tảng đã nhanh chóng phát hành thông báo cho biết đã tạm ngừng hoạt động của hợp đồng thông minh và đang tiến hành điều tra sự việc. Đồng thời, nhiều đội ngũ an ninh cũng đã can thiệp phân tích, dưới đây là phân tích chi tiết về phương pháp tấn công lần này và dòng tiền.
Phân tích tấn công
Lõi của cuộc tấn công này là hacker đã lợi dụng lỗ hổng tính toán toán học trong hệ thống bằng cách sử dụng các tham số được cấu trúc tinh vi, đổi một lượng token rất nhỏ để nhận được khối lượng tài sản thanh khoản khổng lồ. Các bước cụ thể như sau:
Hacker trước tiên mượn một lượng lớn haSUI token thông qua vay chớp nhoáng, dẫn đến giá của các cặp giao dịch liên quan giảm 99,90%.
Sau đó mở vị thế thanh khoản trong một khoảng giá cực hẹp.
Bước quan trọng của cuộc tấn công là tuyên bố thêm thanh khoản khổng lồ, nhưng thực tế chỉ cung cấp 1 mã thông báo. Điều này khai thác lỗ hổng kiểm tra tràn trong hàm get_delta_a của hệ thống.
Khi hệ thống tính toán số lượng haSUI cần thiết, do việc tràn số không được phát hiện đúng cách, dẫn đến việc ước lượng nghiêm trọng số lượng thực tế cần thiết.
Cuối cùng, hacker gỡ bỏ tính thanh khoản để nhận được một lượng lớn token và hoàn trả khoản vay chớp nhoáng, hoàn thành cuộc tấn công.
Phân tích dòng tiền
Theo dõi, hacker đã thu lợi khoảng 230 triệu USD, bao gồm nhiều loại tài sản như SUI, vSUI, USDC. Sau khi cuộc tấn công hoàn thành, hacker đã chuyển một phần tài sản qua cầu nối đa chuỗi sang nhiều chuỗi khác như Ethereum.
Đáng chú ý là, với sự hỗ trợ của các tổ chức như quỹ SUI, hiện tại đã thành công trong việc đóng băng khoảng 162 triệu USD số tiền bị đánh cắp.
Trên chuỗi Ethereum, hacker đã đổi các loại tiền như USDT, USDC và SOL lấy ETH thông qua nền tảng giao dịch phi tập trung. Trong đó, 20,000 ETH đã được chuyển đến một địa chỉ mới, hiện vẫn chưa có động thái gì thêm.
Tình hình sửa chữa
Nền tảng đã phát hành bản vá để khắc phục lỗ hổng gây ra cuộc tấn công này. Việc sửa chữa chủ yếu tập trung vào hàm checked_shlw, điều chỉnh điều kiện và ngưỡng kiểm tra tràn, đảm bảo rằng khi dịch trái giá trị lớn có thể phát hiện đúng tình huống tràn.
Sự kiện lần này lại làm nổi bật tầm quan trọng của việc đảm bảo an toàn tính toán toán học trong các giao thức Tài chính phi tập trung. Các nhà phát triển cần đặc biệt chú ý đến việc xác minh tất cả các điều kiện biên của các hàm toán học, để phòng ngừa các cuộc tấn công toán học tinh vi tương tự.