Slowmist zeigt, wie Cetus 230 Millionen US -Dollar an ausgeklügelten Smart Contract -Exploit verlor

Das Blockchain -Sicherheitsunternehmen Slowmist hat eine detaillierte technische Aufschlüsselung des 230 -Millionen -Dollar -Exploits veröffentlicht, die Cetus, einen wichtigen Liquiditätsanbieter für das Sui -Ökosystem, ins Visier genommen wurden.

The essence of the Cetus exploit lies in the misusage of the checked_shlw function during a liquidity addition operation. This function, designed for efficient multiplication in assembly code, has a limitation when dealing with large numbers, specifically in the context of a modular arithmetic system.

Die Essenz des Cetus -Exploits liegt in der Fehlveränderin der Funktion checked_slw während eines Liquiditätsabbeute. Diese Funktion, die für eine effiziente Multiplikation im Assembly -Code entwickelt wurde, hat eine Einschränkung, wenn sie mit großen Zahlen befasst ist, insbesondere im Kontext eines modularen arithmetischen Systems.

As explained by SlowMist, "In essence, the modular arithmetic system used in blockchain smart contracts operates within a limited range of numbers. When an operation, such as multiplication, results in a sum exceeding this range, a remainder is calculated by dividing the product by the modulus. This remainder, in turn, becomes the final result of the modular multiplication."

Wie Slowmist erklärt: "Im Wesentlichen arbeitet das in Blockchain -Smart -Verträgen verwendete modulare arithmetische System in einem begrenzten Zahlenbereich. Wenn eine Operation, wie z. B. eine Multiplikation, führt eine Summe, die diesen Bereich überschreitet, wird durch die Teile des Produkts durch den Modul berechnet. Dies wird wiederum zu dem Endergebnis der modularen Multiplikation."

The researchers further noted that "the checked_shlw function is meant to perform a left shift and multiply operation, checking for overflow in the process. However, in a scenario where a very large multiplier is used with a small multiplicand, the multiplication itself might not overflow, but the addition of the original multiplicand to the final product might."

Die Forscher stellten ferner fest, dass "die Funktion checked_sHlw eine linke Verschiebung und einen Multiplikationsbetrieb ausführen soll, wobei der Überlauf in diesem Prozess überprüft wird. In einem Szenario, in dem ein sehr großer Multiplikator mit einem kleinen Multiplikum verwendet wird, kann die Multiplikation selbst möglicherweise nicht überfliegen, aber möglicherweise kann der ursprüngliche Multiplicand zu dem Endprodukt möglicherweise möglicherweise überflutet wird."

This anomaly, according to SlowMist, was exploited by the attacker to exchange just one token for an outsized share of liquidity, ultimately draining the pools.

Diese Anomalie wurde laut Slowmist vom Angreifer ausgebeutet, um nur einen Token gegen einen übergroßen Anteil an Liquidität auszutauschen und letztendlich die Pools abzunehmen.

"This was a precision-engineered mathematical exploit. The attacker exploited the edge cases of a vulnerable math function to extract liquidity worth billions from the protocol," the researchers concluded.

"Dies war ein Präzisionsmotathematik-Exploit. Der Angreifer nutzte die Kantenfälle einer gefährdeten Mathematikfunktion, um Liquidität im Wert von Milliarden aus dem Protokoll zu extrahieren", schloss die Forscher.

The incident led to a sharp decline in token pair values and liquidity depth across Cetus. In response, the Cetus team suspended the smart contract to prevent further loss and launched a full investigation.

Der Vorfall führte zu einem starken Rückgang der Tokenpaarwerte und der Liquiditätstiefe über Cetus. Als Reaktion darauf setzte das Cetus -Team den Smart -Vertrag aus, um einen weiteren Verlust zu verhindern, und leitete eine vollständige Untersuchung ein.

SlowMist has advised developers to pay closer attention to boundary conditions in smart contract development. The firm highlighted that even low-level math operations require rigorous validation to prevent similar vulnerabilities.

Slowmist hat den Entwicklern geraten, den Grenzbedingungen in der Entwicklung intelligenter Vertragsentwicklung enger zu beachten. Das Unternehmen betonte, dass selbst niedrige Mathematikoperationen eine strenge Validierung erfordern, um ähnliche Schwachstellen zu verhindern.

"The exploitation of the checked_shlw function's behavior in specific boundary conditions to perform an addition operation and trigger an overflow in the final step of the liquidity addition operation is a sophisticated technique that underscores the importance of meticulous coding practices in blockchain security," the researchers said.

"Die Ausbeutung des Verhaltens der Überprüfung der Funktion der Checked_SHLW unter bestimmten Randbedingungen zur Durchführung eines Additionsvorgangs und des Auslösens eines Überlaufs im letzten Schritt des Liquiditätszusatzbetriebs ist eine ausgefeilte Technik, die die Bedeutung sorgfältiger Codierungspraktiken in der Blockchain -Sicherheit unterstreicht", so die Forscher.

As of now, Cetus continues to work with third-party security experts to patch the exploit and assess recovery options. This attack adds to a growing list of high-profile DeFi breaches in 2025, highlighting the risks associated with complex on-chain protocols.

Ab sofort arbeitet Cetus weiterhin mit Sicherheitsexperten von Drittanbietern zusammen, um die Exploit-Optionen zu patchen und die Wiederherstellungsoptionen zu bewerten. Dieser Angriff trägt zu einer wachsenden Liste hochkarätiger Defi-Verstöße im Jahr 2025 bei, wodurch die mit komplexen Onkettenprotokollen verbundenen Risiken hervorgehoben werden.