深潮 TechFlow 消息,5 月 24 日,慢霧官方發佈 Cetus 被盜事件分析,指出攻擊者通過精心構造參數,使溢出發生但繞過檢測,最終用極小的代幣金額換取鉅額流動性資產。
慢霧表示,這是一次極其精密的數學攻擊,攻擊者通過精確計算選擇特定參數,利用 checked_shlw 函數缺陷,僅用 1 個代幣獲得價值數十億的流動性。慢霧安全團隊建議開發人員嚴格驗證智能合約中所有數學函數的邊界條件。
攻擊者利用 Cetus 智能合約中 checked_shlw 函數的數學溢出漏洞,通過精心構造參數繞過溢出檢測,僅用 1 個代幣就兌換出鉅額流動性資產。攻擊者獲利約 2.3 億美元,包括 SUI、vSUI、USDC 等多種資產。
攻擊發生後,Cetus 暫停了智能合約併發布了修復補丁,修正了 checked_shlw 函數中的錯誤掩碼和判斷條件。在 SUI 基金會及其他生態系統成員合作下,目前已成功凍結了在 SUI 上的 1.62 億美元被盜資金。攻擊者已將部分資金通過跨鏈橋轉移至 EVM 地址。
