慢雾：Cetus被盗事件为精密数学攻击，атакующий всего лишь с 1 Токен получил ликвидность на десятки миллиардов в стоимости.

Согласно сообщению Deep Tide TechFlow, 24 мая официальный аккаунт Slow Mist выпустил анализ инцидента с кражей Cetus, указав, что злоумышленники, тщательно подбирая параметры, смогли вызвать переполнение, однако обошли обнаружение и в конечном итоге обменяли незначительное количество токенов на огромные активы ликвидности.

Согласно Slow Mist, это была чрезвычайно точная математическая атака, при которой злоумышленник с помощью точных расчетов выбирал определенные параметры и использовал уязвимость функции checked_shlw, получив ликвидность на десятки миллиардов всего за 1 токен. Команда безопасности Slow Mist рекомендует разработчикам строго проверять граничные условия всех математических функций в смарт-контрактах.

Злоумышленник использовал уязвимость переполнения в математической функции checked_shlw смарт-контракта Cetus, искусно подбирая параметры для обхода проверки переполнения, обменяв всего 1 токен на огромные ликвидные активы. Злоумышленник заработал около 230 миллионов долларов, включая различные активы, такие как SUI, vSUI, USDC и другие.

После атаки Cetus приостановил работу смарт-контракта и выпустил патч для исправления ошибки в маске и условиях проверки функции checked_shlw. В сотрудничестве с Фондом SUI и другими участниками экосистемы в настоящее время успешно заморожено 162 миллиона долларов украденных средств на SUI. Злоумышленник перевел часть средств на адрес EVM через межсетевой мост.