Cetus Hack Post Mortem خطای سرریز سوء استفاده از 223 میلیون دلار را فاش می کند

مهاجمان از یک نقص مهم سرریز در منطق پروتکل CETUS استفاده کردند که منجر به ضررهای کاربر پس از Dedaub شد.

وی گفت ، شرکت امنیتی Blockchain Dedaub ، در گزارش خود ، “این رویداد” ، محافظت از سرریز “، یک نقص ظریف اما مهم ناشی از مهمترین سوءاستفاده در تاریخ اخیر است.”

Dedaub توضیح داد که این نقص حاوی “سرریز VE در ریاضیات مورد استفاده توسط تولید کننده اتوماتیک Cetus است ، و این که یک وضعیت نادرست نمی تواند به درستی مهمترین نیش های ورودی های بزرگ عددی را کنترل کند و” نتیجه هدف را تولید نکرد “.

به جای رد مقادیر بزرگ ، سیستم آنها را قطع کرده و باعث شده است که بسیار کوچکتر از آنچه باید باشد.

این امر به مهاجم اجازه می داد تا یک سکه را واریز کند ، در حالی که پروتکل آنها را با موقعیت نقدینگی فوق العاده ای نادرست نشان داد. آنها سپس از این موقعیت برای جذب مقادیر زیادی دارایی واقعی از استخرها استفاده کردند.

به گفته Dedaub ، آسیب پذیری مشابه در هنگام کنترل پایه کد پروتکل هنگامی که توسط شرکت امنیتی blockchain Ottersec در ابتدای سال 2023 به APTOS توزیع شد ، مشخص شد.

با این حال ، پس از انتقال کد به شبکه آب ، مشکل اصلی هنوز باقی مانده است. اگرچه توسعه دهندگان سعی در اجرای ضمانت ها داشتند ، اما کنترل سرریز نقص بود و اجازه سوء استفاده از همان نوع سوءاستفاده را بدون توجه می داد.

Dedaub هشدار داد: “این حادثه نشان می دهد که چرا موارد لبه در Defı قابل نادیده گرفتن نیست ، و افزود که ریاضیات پیچیده نیاز به یک معاینه دقیق و آزمایش در امور مالی غیر متمرکز دارد. وی از توسعه دهندگان خواست تا محافظت از سرریز را به طور دستی تأیید کنند ، به خصوص هنگام استفاده از تعداد زیادی ریاضیات پیشرفته یا پیشرفته.

تجارت Cetus به نام فروش

Cetus ، یک DEX پیشرو در شبکه آب ، یکی از بزرگترین تلفات موجود در اکوسیستم آب را در ساعات اولیه 22 مه به وجود آورد. اولین تحقیقات ادعا کرد که این حادثه به دلیل “حشره پیشگویی ..

این سوءاستفاده بیش از 223 میلیون دلار در استخرهای مختلف نقدینگی فراهم کرده و مسیر فروش گسترده ای را در نشانگرهای مربوطه از جمله آب و cetus باز کرده است که در ساعاتی پس از تخلف بیش از 40 ٪ کاهش یافته است. ارزش بازار کوچکتر -ارزش بازار خاص شبکه ، ضرر و زیان قائم تری را مشاهده کرده است و برخی از آنها بیش از 90 ٪ کاهش یافته است.

در پاسخ ، بنیاد SUI با تأیید کننده ها برای یخ زدن 163 میلیون دلار بودجه سرقت شده هماهنگ شد. CETUS همچنین برای اطلاعاتی که مسئول مسئول است ، جایزه 5 میلیون دلاری را اعلام کرد.