Em 22 de maio, algo alarmante aconteceu no mundo da blockchain da Sui. Os preços na troca descentralizada de Cetus (DEX) caíram repentinamente e seus pools de liquidez foram drenados. A perda total estimada foi superior a US $ 230 milhões.
Foi quando a SlowMist, uma equipe de segurança de blockchain conhecida, interveio e lançou uma análise do que eles descobriram foi chocante e técnico.
Qual é o verdadeiro problema?
De acordo com o SlowMist Análise de mergulho profundoo núcleo do problema era uma vulnerabilidade no código de contrato inteligente de Cetus, especificamente, uma função chamada checked_shlw que não conseguiu detectar corretamente um estouro em outra função chamada get_delta_a.
Agora, o que realmente significa em termos simples?
Esse bug fez com que o sistema calcule quantidades de token incorretamente. Não percebeu quando os números ficaram muito grandes, então assumiu que o atacante estava adicionando uma enorme quantidade de liquidez, quando, na realidade, eles adicionaram apenas 1 token.
Essa pequena falha deu ao atacante uma oportunidade enorme.
Como o atacante aproveitou
Veja como o atacante realizou a exploração, passo a passo:
Gatilho de empréstimo flash: O atacante emprestou mais de 10 milhões de tokens hasui usando um empréstimo em flash. Esse movimento fez com que o preço do token na piscina caiu 99,9%.
Configuração de truques: Eles então criaram uma posição de liquidez muito estreita – uma pequena janela na faixa de preço – que fez o sistema acreditar que uma enorme quantidade de liquidez estava sendo adicionada.
A exploração: Usando a falha de transbordamento, eles afirmaram adicionar trilhões de liquidez, mas apenas enviaram 1 token. O contrato não pegou a incompatibilidade.
Descontando: O invasor removeu a liquidez falsa em três etapas e reembolsou o empréstimo flash.
Lucro enorme: Eles foram embora com 10 milhões de hasui e 5,7 milhões de sui, com quase nenhum investimento real.
Aviso de Mista Slow para Defi Developers
Esse incidente mostra como um pequeno erro de codificação pode levar a enormes perdas financeiras, especialmente em plataformas Defi, onde contratos inteligentes executam tudo.
De acordo com o SlowMist, se uma função crítica como o checked_shlw não detectar corretamente erros como transbordamentos, os invasores podem quebrar a lógica do sistema completamente.
O SlowMist adverte todos os desenvolvedores da Defi para verificar duas funções matemáticas, especialmente em áreas que envolvem cálculos de token e fórmulas de liquidez. Uma linha de código desmarcada foi necessária para deixar alguém ir embora com milhões.
