Анализ инцидента с похищением 230 миллионов долларов Cetus, опубликованный Slow Mist: Хакер обменял незначительное количество токенов на огромные ликвидные активы.
Новости Odaily: Slow Mist выпустила анализ инцидента с кражей 230 миллионов долларов в Cetus, в котором указано: в центре этого инцидента лежит то, что злоумышленник, тщательно подбирая параметры, вызвал переполнение, но смог избежать обнаружения, в конечном итоге обменяв очень небольшое количество токенов на огромные ликвидные активы. Основная причина заключается в том, что в функции getdeltaa существует уязвимость, позволяющая обходить проверку переполнения в checkedshlw. Злоумышленник воспользовался этим, что привело к серьезной ошибке в расчете того, сколько haSUI необходимо добавить. Поскольку переполнение не было обнаружено, система неверно оценила количество необходимого haSUI, что позволило злоумышленнику обменять всего лишь небольшое количество токенов на большое количество ликвидных активов, что и стало причиной атаки.
Эта атака демонстрирует мощь уязвимости с математическим побочным эффектом. Злоумышленник выбирает конкретные параметры с помощью точных расчетов, используя недостатки функции checkedshlw, чтобы получить миллиарды ликвидности по цене 1 токена. Это чрезвычайно сложная математическая атака, и разработчикам рекомендуется тщательно проверять граничные условия всех математических функций при разработке смарт-контрактов.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Анализ инцидента с похищением 230 миллионов долларов Cetus, опубликованный Slow Mist: Хакер обменял незначительное количество токенов на огромные ликвидные активы.
Новости Odaily: Slow Mist выпустила анализ инцидента с кражей 230 миллионов долларов в Cetus, в котором указано: в центре этого инцидента лежит то, что злоумышленник, тщательно подбирая параметры, вызвал переполнение, но смог избежать обнаружения, в конечном итоге обменяв очень небольшое количество токенов на огромные ликвидные активы. Основная причина заключается в том, что в функции getdeltaa существует уязвимость, позволяющая обходить проверку переполнения в checkedshlw. Злоумышленник воспользовался этим, что привело к серьезной ошибке в расчете того, сколько haSUI необходимо добавить. Поскольку переполнение не было обнаружено, система неверно оценила количество необходимого haSUI, что позволило злоумышленнику обменять всего лишь небольшое количество токенов на большое количество ликвидных активов, что и стало причиной атаки. Эта атака демонстрирует мощь уязвимости с математическим побочным эффектом. Злоумышленник выбирает конкретные параметры с помощью точных расчетов, используя недостатки функции checkedshlw, чтобы получить миллиарды ликвидности по цене 1 токена. Это чрезвычайно сложная математическая атака, и разработчикам рекомендуется тщательно проверять граничные условия всех математических функций при разработке смарт-контрактов.