มันเป็นวันที่มืดมิดวันที่ 22 พฤษภาคมทางตะวันตกป่าของ Sui Blockchain พระอาทิตย์กำลังตกดินและราคาของการแลกเปลี่ยนการกระจายอำนาจของ Cetus (DEX) กำลังดิ่งลงเหมือนหมวกคาวบอยที่มีลมแรง สระว่ายน้ำสภาพคล่องถูกระบายออกไปและการสูญเสียโดยประมาณทั้งหมดเป็นมูลค่า 230 ล้านดอลลาร์
นั่นคือเมื่อทหารม้า Slowmist ทีมรักษาความปลอดภัยบล็อกเชนที่รู้จักกันดีขี่ม้าเข้ามาในเมืองและเปิดตัวการวิเคราะห์สิ่งที่พวกเขาค้นพบนั้นทั้งที่น่าตกใจและเป็นเทคนิค มันเหมือนกับการหางูหางกระดิ่งในรองเท้าบู๊ตของคุณ – คุณไม่ได้คาดหวัง แต่อยู่ที่นั่นรอการโจมตี
รากของความชั่วร้ายทั้งหมด
จากการวิเคราะห์การดำน้ำลึกของ Slowmist หลักของปัญหาคือช่องโหว่ในรหัสสัญญาอัจฉริยะของ Cetus โดยเฉพาะฟังก์ชั่นที่เรียกว่า checked_shlw ที่ล้มเหลวในการตรวจจับการล้นในฟังก์ชั่นอื่นชื่อ Get_Delta_A มันเหมือนรอยแตกเล็ก ๆ ในเขื่อน แต่ในที่สุดสิ่งทั้งหมดก็พังทลายลง
ข้อผิดพลาดทำให้ระบบคำนวณจำนวนโทเค็นไม่ถูกต้อง มันไม่ได้ตระหนักว่าเมื่อตัวเลขมีขนาดใหญ่เกินไปดังนั้นจึงสันนิษฐานว่าผู้โจมตีเพิ่มสภาพคล่องจำนวนมากเมื่อในความเป็นจริงพวกเขาเพิ่มโทเค็นเพียง 1 โท มันเหมือนกับการคิดว่าคุณร่ำรวยเพราะคุณพบเพนนีบนพื้น
ข้อบกพร่องเล็ก ๆ น้อย ๆ นั้นทำให้ผู้โจมตีมีโอกาสมหาศาลเช่นกุญแจสู่อาณาจักร
การปล้น
นี่คือวิธีที่ผู้โจมตีดำเนินการหาประโยชน์ทีละขั้นตอน:
ทริกเกอร์สินเชื่อแฟลช: ผู้โจมตียืมโทเค็น Hasui มากกว่า 10 ล้านโทโดยใช้เงินกู้แฟลช การย้ายครั้งนี้ทำให้ราคาโทเค็นในสระลดลง 99.9% มันเหมือนการปล้นธนาคาร แต่แทนที่จะเป็นปืนและหน้ากากพวกเขาใช้รหัสและไหวพริบ
การตั้งค่าเคล็ดลับ: จากนั้นพวกเขาก็สร้างตำแหน่งสภาพคล่องที่แคบมาก – หน้าต่างเล็ก ๆ ในช่วงราคา – ซึ่งทำให้ระบบเชื่อว่ามีการเพิ่มสภาพคล่องจำนวนมาก มันเหมือนกับการตั้งค่ากับดักรอช่วงเวลาที่สมบูรณ์แบบที่จะโจมตี
การหาประโยชน์: โดยใช้ข้อบกพร่องของล้นพวกเขาอ้างว่าเพิ่มสภาพคล่องมูลค่าหลายล้านล้าน แต่ส่งเพียง 1 โทเค็น สัญญาไม่ได้จับไม่ตรงกัน มันเหมือนกลอุบายมายากลที่ผู้โจมตีทำให้เงินหายไป
cashing out: ผู้โจมตีลบสภาพคล่องปลอมในสามขั้นตอนและชำระคืนเงินกู้แฟลช มันเหมือนรถพักผ่อนเร่งความเร็วจากที่เกิดเหตุ
ผลกำไรมหาศาล: พวกเขาเดินไปกับ 10 ล้าน hasui และ 5.7 ล้านซุยโดยแทบไม่มีการลงทุนจริง มันเหมือนกับการชนะลอตเตอรี แต่แทนที่จะโชคพวกเขาใช้สมองและรหัส
คำเตือนสำหรับนักพัฒนา defi
เหตุการณ์นี้แสดงให้เห็นว่าความผิดพลาดในการเขียนโค้ดเล็ก ๆ น้อย ๆ สามารถนำไปสู่การสูญเสียทางการเงินขนาดใหญ่โดยเฉพาะในแพลตฟอร์ม defi ที่สัญญาอัจฉริยะทำทุกอย่าง มันเหมือนกับระเบิดเวลาที่ต้องรอคอยที่จะออกไป
ตามที่ Slowmist หากฟังก์ชั่นที่สำคัญเช่น checked_shlw ตรวจพบข้อผิดพลาดอย่างถูกต้องเช่นล้นผู้โจมตีสามารถทำลายตรรกะของระบบได้ทั้งหมด มันเหมือนบ้านของการ์ดรอที่จะล้มลง
Slowmist เตือนนักพัฒนา defi ทั้งหมดให้ตรวจสอบฟังก์ชั่นทางคณิตศาสตร์ของพวกเขาโดยเฉพาะอย่างยิ่งในพื้นที่ที่เกี่ยวข้องกับการคำนวณโทเค็นและสูตรสภาพคล่อง หนึ่งบรรทัดที่ไม่ได้ตรวจสอบรหัสคือทั้งหมดที่ต้องใช้เพื่อให้ใครบางคนเดินไปกับคนนับล้าน มันเหมือนกับการโทรปลุกเตือนให้ระแวดระวังอยู่เสมอ
- ชุมชน SUI อนุมัติการกลับมาของ $ 162M ในกองทุน Cetus ที่ถูกขโมย
- Bonanza blockchain bonanza ของ HSBC: เงินเคลื่อนที่เร็วกว่าเสือชีตาห์บนรองเท้าสเก็ตโรลเลอร์!
- การเต้นรำที่กล้าหาญของ Bitcoin: บูลส์จะประสบความสำเร็จหรือล้มลงหรือไม่?
- Crypto Heist: $ 44m ดูดจากการแลกเปลี่ยนของอินเดีย!
- Bitcoin เล่นยากหรือเบื่อ? หา!
- Crypto Chaos: กระเป๋าเงินของคุณจะรอดชีวิตจากการล่มสลายในวันที่ 28 พฤษภาคมหรือไม่?
- ทำไม บริษัท ถึงเดิมพันใหญ่บน Solana: $ 500 คือ $ 100 ใหม่?
- ราคาของ Cardano Dilemma: มันจะหลุดหรือติดอยู่หรือไม่?
- กิจกรรมวาฬเป็นสัญญาณว่าการเดินทางที่สั่นคลอนของ Bitcoin ไปสู่อีกครั้ง
- การเดินทางของ Bitcoin: มันจะทะยานขึ้นไปที่ $ 114K หรือแค่ล้มเหลว?
2025-05-26 11:25