区块链安全公司slowmist已发布了针对cetu的2.3亿美元漏洞的详细技术细分,该公司是sui生态系统上的关键流动性提供商。
CETUS漏洞的本质在于在流动性加法操作期间误用了checked_shlw功能。该功能旨在在汇编代码中有效乘法,在处理大量时,特别是在模块化算术系统的背景下,具有限制。
正如Slowmist所解释的那样:“本质上,区块链智能合约中使用的模块化算术系统在有限的数字范围内运行。当操作(例如乘法)导致超过此范围的操作导致剩余的总和超过该范围时,通过将产品除以模量。剩余的结果,将其最终结果成为模块化乘法的最终结果。”
研究人员进一步指出:“ checked_shlw函数旨在执行左移和多重操作,检查过程中的溢出。但是,在一个非常大的乘数与小型乘法中一起使用的情况下,乘法本身可能不会溢出,但是将原始乘数添加到最终产品中。”
2025最安全的交易所推荐
币安交易所
okx交易所
火币交易所
gate交易所
据Slowmist称,这种异常现象被攻击者剥削,仅交换一个令牌,以获得大量的流动性,最终耗尽了游泳池。
研究人员总结说:“这是一种精确的工程数学利用。攻击者利用了脆弱的数学功能的边缘案例,以从协议中提取价值数十亿美元的流动性。”
该事件导致代币的值和CETUS的流动性深度急剧下降。作为回应,CETUS团队暂停了智能合同,以防止进一步损失,并进行了全面调查。
Slowmist建议开发人员在智能合同开发中更加关注边界条件。该公司强调,即使是低级数学操作,也需要严格的验证以防止类似的漏洞。
研究人员说:“在流动性加法操作的最后一步中,在特定边界条件下对Checked_SHLW函数的行为进行了溢出是一种复杂的技术,它强调了在区块链安全中精心编码实践的重要性。”
截至目前,CETUS继续与第三方安全专家合作,以修补利用并评估恢复方案。这次攻击增加了2025年越来越多的备受瞩目的Defi漏洞清单,突出了与复杂的链链协议相关的风险。
