มันเป็นวันที่มืดมิดวันที่ 22 พฤษภาคมทางตะวันตกป่าของ Sui Blockchain พระอาทิตย์กำลังตกดินและราคาของการแลกเปลี่ยนการกระจายอำนาจของ Cetus (DEX) กำลังดิ่งลงเหมือนหมวกคาวบอยที่มีลมแรง สระว่ายน้ำสภาพคล่องถูกระบายออกไปและการสูญเสียโดยประมาณทั้งหมดเป็นมูลค่า 230 ล้านดอลลาร์
นั่นคือเมื่อทหารม้า Slowmist ทีมรักษาความปลอดภัยบล็อกเชนที่รู้จักกันดีขี่ม้าเข้ามาในเมืองและเปิดตัวการวิเคราะห์สิ่งที่พวกเขาค้นพบนั้นทั้งที่น่าตกใจและเป็นเทคนิค มันเหมือนกับการหางูหางกระดิ่งในรองเท้าบู๊ตของคุณ – คุณไม่ได้คาดหวัง แต่อยู่ที่นั่นรอการโจมตี
รากของความชั่วร้ายทั้งหมด
จากการวิเคราะห์การดำน้ำลึกของ Slowmist หลักของปัญหาคือช่องโหว่ในรหัสสัญญาอัจฉริยะของ Cetus โดยเฉพาะฟังก์ชั่นที่เรียกว่า checked_shlw ที่ล้มเหลวในการตรวจจับการล้นในฟังก์ชั่นอื่นชื่อ Get_Delta_A มันเหมือนรอยแตกเล็ก ๆ ในเขื่อน แต่ในที่สุดสิ่งทั้งหมดก็พังทลายลง
ข้อผิดพลาดทำให้ระบบคำนวณจำนวนโทเค็นไม่ถูกต้อง มันไม่ได้ตระหนักว่าเมื่อตัวเลขมีขนาดใหญ่เกินไปดังนั้นจึงสันนิษฐานว่าผู้โจมตีเพิ่มสภาพคล่องจำนวนมากเมื่อในความเป็นจริงพวกเขาเพิ่มโทเค็นเพียง 1 โท มันเหมือนกับการคิดว่าคุณร่ำรวยเพราะคุณพบเพนนีบนพื้น
ข้อบกพร่องเล็ก ๆ น้อย ๆ นั้นทำให้ผู้โจมตีมีโอกาสมหาศาลเช่นกุญแจสู่อาณาจักร
การปล้น
นี่คือวิธีที่ผู้โจมตีดำเนินการหาประโยชน์ทีละขั้นตอน:
ทริกเกอร์สินเชื่อแฟลช: ผู้โจมตียืมโทเค็น Hasui มากกว่า 10 ล้านโทโดยใช้เงินกู้แฟลช การย้ายครั้งนี้ทำให้ราคาโทเค็นในสระลดลง 99.9% มันเหมือนการปล้นธนาคาร แต่แทนที่จะเป็นปืนและหน้ากากพวกเขาใช้รหัสและไหวพริบ
การตั้งค่าเคล็ดลับ: จากนั้นพวกเขาก็สร้างตำแหน่งสภาพคล่องที่แคบมาก – หน้าต่างเล็ก ๆ ในช่วงราคา – ซึ่งทำให้ระบบเชื่อว่ามีการเพิ่มสภาพคล่องจำนวนมาก มันเหมือนกับการตั้งค่ากับดักรอช่วงเวลาที่สมบูรณ์แบบที่จะโจมตี
การหาประโยชน์: โดยใช้ข้อบกพร่องของล้นพวกเขาอ้างว่าเพิ่มสภาพคล่องมูลค่าหลายล้านล้าน แต่ส่งเพียง 1 โทเค็น สัญญาไม่ได้จับไม่ตรงกัน มันเหมือนกลอุบายมายากลที่ผู้โจมตีทำให้เงินหายไป
cashing out: ผู้โจมตีลบสภาพคล่องปลอมในสามขั้นตอนและชำระคืนเงินกู้แฟลช มันเหมือนรถพักผ่อนเร่งความเร็วจากที่เกิดเหตุ
ผลกำไรมหาศาล: พวกเขาเดินไปกับ 10 ล้าน hasui และ 5.7 ล้านซุยโดยแทบไม่มีการลงทุนจริง มันเหมือนกับการชนะลอตเตอรี แต่แทนที่จะโชคพวกเขาใช้สมองและรหัส
คำเตือนสำหรับนักพัฒนา defi
เหตุการณ์นี้แสดงให้เห็นว่าความผิดพลาดในการเขียนโค้ดเล็ก ๆ น้อย ๆ สามารถนำไปสู่การสูญเสียทางการเงินขนาดใหญ่โดยเฉพาะในแพลตฟอร์ม defi ที่สัญญาอัจฉริยะทำทุกอย่าง มันเหมือนกับระเบิดเวลาที่ต้องรอคอยที่จะออกไป
ตามที่ Slowmist หากฟังก์ชั่นที่สำคัญเช่น checked_shlw ตรวจพบข้อผิดพลาดอย่างถูกต้องเช่นล้นผู้โจมตีสามารถทำลายตรรกะของระบบได้ทั้งหมด มันเหมือนบ้านของการ์ดรอที่จะล้มลง
Slowmist เตือนนักพัฒนา defi ทั้งหมดให้ตรวจสอบฟังก์ชั่นทางคณิตศาสตร์ของพวกเขาโดยเฉพาะอย่างยิ่งในพื้นที่ที่เกี่ยวข้องกับการคำนวณโทเค็นและสูตรสภาพคล่อง หนึ่งบรรทัดที่ไม่ได้ตรวจสอบรหัสคือทั้งหมดที่ต้องใช้เพื่อให้ใครบางคนเดินไปกับคนนับล้าน มันเหมือนกับการโทรปลุกเตือนให้ระแวดระวังอยู่เสมอ
- ช่วงเวลาที่ยิ่งใหญ่ของ Nasdaq ของ Cardano: ในที่สุดวอลล์สตรีทให้ความสนใจหรือไม่?
- Binance Futures แสดงรายการ hype ด้วยการใช้ประโยชน์สูงสุด 75x ไม่มีปั๊มราคาทำไม?
- การทรมานของเหรียญ: เสียงร้องเพื่อความรอดท่ามกลางก้นบึ้ง
- การเต้นรำปลาวาฬของ Ethereum: การพนันที่กล้าหาญหรือโศกนาฏกรรมตลก?
- hype ของ Hyperliquid แบ่งบันทึกตลาดไปอย่างดุเดือด!
- ตัวบ่งชี้ bitcoin นี้ไม่ได้ฉายรั้นตั้งแต่เดือนกุมภาพันธ์ – ตอนนี้กลับมาแล้ว (ด้วยการล้างแค้น!)
- การแฮ็ค Cetus ที่ยิ่งใหญ่ของปี 2025: $ 200 ล้านหายไปใน Abyss!
- โทเค็น hype ของ Hyperliquid ทะยานขึ้นสู่ความสูงใหม่เนื่องจากดอกเบี้ยแบบเปิดพุ่งสูงถึง $ 9 พันล้าน!
- IPO ของ Circle: รุ่งอรุณอันรุ่งโรจน์ของมหาอำนาจ Stablecoin 🚀💸
- CME คิดว่าเราทุกคนกบในบ่อหรือไม่? XRP Futures มาถึง!
2025-05-26 11:25