يكشف Cetus Hack Post-Mortem عن خطأ في التدفق الخلف 223 مليون دولار

قام المهاجمون باستغلال عيب فائض حرج في منطق صانع السوق الآلي لبروتوكول CETUS ، مما أدى إلى خسائر المستخدم 223 مليون دولار ، وفقًا لما بعد الوفاة من قبل DEDAUB.

وقالت شركة أمن Blockchain في تقريرها: “يمثل هذا الحادث أحد أهم مآثر Defi في التاريخ الحديث ، الناجم عن عيب دقيق ولكنه حاسم في حماية” الفائض “”.

أوضح Dedaub أن الخلل ينطوي على “فيضان” في الرياضيات التي يستخدمها شركة Cetus Automated Market Maker ، حيث فشلت حالة خاطئ في التعامل بشكل صحيح مع أهم أجزاء من المدخلات العددية الكبيرة و “لم تنتج النتيجة المقصودة”.

بدلاً من رفض القيم الضخمة ، قام النظام بإيقافها ، مما تسبب في ظهور الإخراج أصغر بكثير مما ينبغي.

هذا سمح للمهاجم بإيداع رمز واحد فقط بينما كان البروتوكول يرجع إلى حد خاطئ مع وضع سيولة هائلة. ثم استخدموا هذا الموقف لسحب كميات كبيرة من الأصول الحقيقية من المجمعات.

وفقًا لـ DEDAUB ، تم وضع علامة على ثغرة أمنية مماثلة في أوائل عام 2023 من قبل شركة أمن Blockchain Ottersec أثناء مراجعة قاعدة بيانات البروتوكول عند نشرها على APTOS.

ومع ذلك ، بعد نقل الكود لاحقًا إلى شبكة SUI ، لا تزال القضية الأساسية. على الرغم من أن المطورين حاولوا تنفيذ ضمانات ، إلا أن فحص الفائض كان معيارًا ، مما يسمح لنفس النوع من الاستغلال بالانزلاق دون أن يلاحظها أحد.

“هذا الحادث يوضح لماذا لا يمكن تجاهل حالات الحافة في Defi” ، حذر Dedaub ، مضيفًا أن الرياضيات المعقدة في التمويل اللامركزي تحتاج إلى مراجعة واختبار دقيق. وحث المطورين على التحقق من حماية الفائض يدويًا ، خاصة عند استخدام أعداد كبيرة أو الرياضيات المتقدمة.

أثار استغلال Cetus البيع

تم اختراق Cetus ، وهي شركة DEX الرائدة على شبكة SUI ، في الساعات الأولى من 22 مايو ، مما أدى إلى واحدة من أكبر الخسائر في النظام البيئي SUI حتى الآن. ادعى التحقيقات الأولية أن الحادث نشأ عن “علة أوراكل”.

أدى الاستغلال إلى ما يزيد عن 223 مليون دولار من الخسائر عبر تجمعات السيولة المختلفة ، مما أثار عملية بيع واسعة في الرموز ذات الصلة ، بما في ذلك Sui و Cetus ، والتي انخفضت أكثر من 40 ٪ في الساعات التي تلت الخرق. شهدت Memecoins ورموز الحد الأقصى للسوق الأصغر في الشبكة خسائر أكثر حدة ، مع انخفاض بعضها بأكثر من 90 ٪.

رداً على ذلك ، تنسق مؤسسة SUI مع المدققين لتجميد حوالي 163 مليون دولار من الأموال المسروقة. أعلنت Cetus أيضًا عن مكافأة بقيمة 5 ملايين دولار للحصول على معلومات تحدد المسؤولين.