慢雾发布深度分析:Cetus 遭黑客攻击损失2.3亿美元事件技术细节
区块链安全机构慢雾科技近日发布了对Cetus协议遭受2.3亿美元巨额盗窃事件的技术分析报告。报告揭露,此次攻击的核心在于攻击者通过精心构造的交易参数,成功绕过了系统的溢出检测机制。
漏洞技术细节:
攻击者主要利用了get_delta_a函数中checked_shlw存在的溢出检测绕过漏洞。通过这一漏洞,攻击者能够使系统在计算需要添加的haSUI数量时产生严重偏差。由于系统未能正确检测到溢出情况,导致攻击者仅需付出极少量Token(低至1个代币)就能兑换出价值数十亿美元的流动性资产。
攻击手法分析:
这是一次典型的数学溢出漏洞攻击,展示了精确计算和参数构造在智能合约攻击中的威力。攻击者通过深入研究合约代码,找到了checked_shlw函数的缺陷,并利用数学计算上的边界条件漏洞实施了这次精密攻击。
安全建议:
慢雾科技建议所有智能合约开发人员必须严格验证所有数学函数的边界条件,特别是涉及资金计算的函数。同时建议项目方在合约上线前进行全面的安全审计,并建立完善的漏洞赏金计划。
对投资者的影响:
1. 资金安全风险:此类事件直接导致投资者资产损失
2. 市场信心受挫:重大安全事件会影响整个DeFi领域的投资信心
3. 监管关注增加:可能引发更严格的监管审查
4. 投资决策参考:投资者需更重视项目的安全审计记录
5. 保险成本上升:DeFi保险产品可能提高保费
