慢霧針對(duì) Cetus 被盜 2.3 億美元事件發(fā)布了詳細(xì)分析報(bào)告。此次安全事件的關(guān)鍵在于攻擊者巧妙構(gòu)造參數(shù),導(dǎo)致溢出發(fā)生并成功繞過(guò)系統(tǒng)檢測(cè)。問(wèn)題根源是 get_delta_a 函數(shù)中的 checked_shlw 存在漏洞,使得系統(tǒng)在計(jì)算所需 haSUI 數(shù)量時(shí)出現(xiàn)偏差。由于未能有效檢測(cè)到溢出情況,系統(tǒng)錯(cuò)誤判斷了所需 T抹茶en 的數(shù)量,最終讓攻擊者以極少量的代幣獲取了巨額流動(dòng)性資產(chǎn)。
這一事件凸顯了數(shù)學(xué)溢出漏洞可能帶來(lái)的嚴(yán)重后果。攻擊者通過(guò)精準(zhǔn)選擇特定參數(shù),利用 checked_shlw 函數(shù)缺陷,僅花費(fèi) 1 個(gè)代幣就換取了價(jià)值數(shù)十億的流動(dòng)性資產(chǎn)。這是一場(chǎng)基于數(shù)學(xué)原理的精密攻擊行為。為此,建議智能合約開(kāi)發(fā)人員在編寫(xiě)代碼時(shí),務(wù)必對(duì)所有數(shù)學(xué)函數(shù)的邊界條件進(jìn)行嚴(yán)格驗(yàn)證,從而避免類似的安全隱患。
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除,多謝。
