SUI生态DeFi平台遭遇严重攻击，损失超2亿美元

5月22日，SUI生态中的一个流动性提供平台遭到黑客攻击，造成巨额损失。该平台的多个交易对出现大幅下跌，流动性池深度严重缩水，初步估计损失金额超过2.3亿美元。

事发后，平台方迅速发布公告称已暂停智能合约运行，并正在对事件展开调查。同时，多家安全团队也介入分析，以下是对此次攻击手法及资金流向的详细解析。

攻击分析

此次攻击的核心是黑客通过精心构造的参数，利用系统中的数学计算漏洞，用极少量代币换取了巨额流动性资产。具体步骤如下：

1. 黑客首先通过闪电贷借出大量haSUI代币，导致相关交易对价格暴跌99.90%。

2. 随后在一个极窄的价格区间内开立流动性头寸。

3. 攻击的关键步骤是声明添加巨额流动性，但实际只提供1个代币。这利用了系统中get_delta_a函数的溢出检测漏洞。

4. 当系统计算所需haSUI数量时，由于溢出未被正确检测，导致严重低估了实际所需数量。

5. 最后，黑客移除流动性获得大量代币，并归还闪电贷，完成攻击。

资金流向分析

据追踪，黑客获利约2.3亿美元，包括SUI、vSUI、USDC等多种资产。攻击完成后，黑客将部分资产通过跨链桥转移到以太坊等多个链上。

值得注意的是，在SUI基金会等机构的协助下，目前已成功冻结了约1.62亿美元的被盗资金。

在以太坊链上，黑客将获得的USDT、USDC和SOL等通过去中心化交易所兑换成ETH。其中20,000 ETH被转移到一个新地址，目前仍未有进一步动向。

修复情况

平台方已发布补丁修复了导致此次攻击的漏洞。修复主要针对checked_shlw函数，调整了溢出检测的判断条件和阈值，确保大数值左移时能正确检测溢出情况。

这次事件再次凸显了DeFi协议中数学计算安全性的重要性。开发者应当格外注意验证所有数学函数的边界条件，防范类似的精密数学攻击。