SUI生態DeFi平台遭遇嚴重攻擊，損失超2億美元

5月22日，SUI生態中的一個流動性提供平台遭到黑客攻擊，造成巨額損失。該平台的多個交易對出現大幅下跌，流動性池深度嚴重縮水，初步估計損失金額超過2.3億美元。

事發後，平台方迅速發布公告稱已暫停智能合約運行，並正在對事件展開調查。同時，多家安全團隊也介入分析，以下是對此次攻擊手法及資金流向的詳細解析。

攻擊分析

此次攻擊的核心是黑客通過精心構造的參數，利用系統中的數學計算漏洞，用極少量代幣換取了巨額流動性資產。具體步驟如下：

1. 黑客首先通過閃電貸借出大量haSUI代幣，導致相關交易對價格暴跌99.90%。

2. 隨後在一個極窄的價格區間內開立流動性頭寸。

3. 攻擊的關鍵步驟是聲明添加巨額流動性，但實際只提供1個代幣。這利用了系統中get_delta_a函數的溢出檢測漏洞。

4. 當系統計算所需haSUI數量時，由於溢出未被正確檢測，導致嚴重低估了實際所需數量。

5. 最後，黑客移除流動性獲得大量代幣，並歸還閃電貸，完成攻擊。

資金流向分析

據追蹤，黑客獲利約2.3億美元，包括SUI、vSUI、USDC等多種資產。攻擊完成後，黑客將部分資產通過跨鏈橋轉移到以太坊等多個鏈上。

值得注意的是，在SUI基金會等機構的協助下，目前已成功凍結了約1.62億美元的被盜資金。

在以太坊鏈上，黑客將獲得的USDT、USDC和SOL等通過去中心化交易所兌換成ETH。其中20,000 ETH被轉移到一個新地址，目前仍未有進一步動向。

修復情況

平台方已發布補丁修復了導致此次攻擊的漏洞。修復主要針對checked_shlw函數，調整了溢出檢測的判斷條件和閾值，確保大數值左移時能正確檢測溢出情況。

這次事件再次凸顯了DeFi協議中數學計算安全性的重要性。開發者應當格外注意驗證所有數學函數的邊界條件，防範類似的精密數學攻擊。