Tiny Overflow Bug dans Cetus Smart Contrat était une cause profonde de 230 M $ de perte de Defi

Le bogue confirmé Slowmist dans la fonction CHECKED_SHLW était une cause première de la perte de défi de 230 M $. Un petit bug de débordement dans le contrat intelligent Cetus a permis à l'attaquant de simuler des dépôts de liquidité massifs.

On May 22, something alarming happened in the SUI blockchain world. Prices on the Cetus decentralized exchange (DEX) suddenly dropped, and its liquidity pools were drained. The total estimated loss was over $230 million.

Le 22 mai, quelque chose d'alarmant s'est produit dans le monde de la blockchain SUI. Les prix de la bourse décentralisée de Cetus (DEX) ont soudainement baissé et ses bassins de liquidité ont été vidacés. La perte totale estimée était supérieure à 230 millions de dollars.

Several reports quickly implicated a single triple-entry arbitrageur who used a flash loan to crash a token price instantly and siphon off funds from multiple protocols. However, the precise technical vulnerability that enabled this massive exploit remained a subject of discussion.

Plusieurs rapports ont rapidement impliqué un seul arbitrage à triple entrée qui a utilisé un prêt flash pour écraser instantanément un prix de jeton et siphonner les fonds à partir de plusieurs protocoles. Cependant, la vulnérabilité technique précise qui a permis à cet exploit massif est restée un sujet de discussion.

Now, renowned blockchain security team SlowMist has released a detailed analysis, revealing a tiny overflow bug in Cetus’ smart contract as the root cause of the staggering DeFi loss.

Désormais, l'équipe de sécurité Blockchain renommée Slowmist a publié une analyse détaillée, révélant un petit bug de débordement dans le contrat intelligent de Cetus en tant que cause profonde de la perte défectueuse.

The checked_shlw function, designed to check for errors like overflows, failed to properly detect an overflow in the get_delta_a function, which is used to calculate the delta of token A when adding liquidity.

La fonction CheckED_SHLW, conçue pour vérifier les erreurs comme les débordements, n'a pas réussi à détecter correctement un débordement dans la fonction get_delta_a, qui est utilisé pour calculer le delta du jeton A lors de l'ajout de liquidité.

This bug allowed the attacker to claim to be adding a huge amount of liquidity by displaying a nearly impossible price and submitting only 1 token, while the system expected 367506680905089974005506088888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888

Ce bogue a permis à l'attaquant de prétendre ajouter une énorme quantité de liquidité en affichant un prix presque impossible et en soumettant seulement 1 jeton, tandis que le système s'attendait