Експерти пов'язали злом Cetus з “переповненням” у розрахунках – ForkLog UA
За словами дослідників з Dedaub, порушення протоколу Cetus AMM сталося через недолік у механізмі захисту критичних параметрів смарт-контракту від «переповнення».
Зловмисник успішно створив позицію зі штучно завищеним об'ємом, викликавши помилку, пов'язану з усіканням старших бітів.
Щоб реалізувати цю схему, він позичив 10 мільйонів haSUI через флеш-своп та відкрив величезну позицію. Замість значної кількості токенів, яка мала б знадобитися для завершення транзакції, система запросила лише один токен.
Хакер скористався цією вразливістю, знявши кошти за допомогою кількох транзакцій, а потім погасивши кредит haSUI, отримавши прибуток у розмірі 5,7 мільйона SUI. Експерти вважають, що він точно розрахував необхідні значення, щоб спровокувати таку помилку.
Дедауб порадив розробникам DeFi-протоколів бути обережними під час перевірки математичних операцій та проводити ретельне тестування.
«У DeFi крайні випадки — це не просто крайні випадки — вони представляють собою потенційні вектори атаки. AMM особливо вразливі, оскільки вони виконують складні математичні операції в екстремальних діапазонах. Злом Cetus ілюструє, що навіть операції, позначені як «перевірені», потребують ретельної перевірки», — заявили аналітики.
Вони також наголосили на необхідності аудиту не лише проблем, а й впроваджених рішень.
Після інциденту команда Cetus запропонувала хакеру винагороду в розмірі 6 мільйонів доларів за повернення викрадених активів. Станом на 23 травня зловмисник не надходив жодних повідомлень, що спонукало розробників оголосити винагороду в розмірі 5 мільйонів доларів за допомогу в його пошуку та затриманні.
Варто зазначити, що криптовалютна біржа Coinbase повідомила про витік даних у грудні 2024 року, в результаті якого було вилучено інформацію 69 461 користувача.
