CETUSプロトコル流動性プロバイダー契約オーバーフローの脆弱性

コミュニティニュースによると、5月22日に、SUIエコシステムの流動性プロバイダーCetusは攻撃された疑いがありました

A liquidity provider, Cetus, on the SUI ecosystem was suspected to be undergoing a significant liquidity depth reduction, and multiple token trading pairs on Cetus experienced declines, with expected losses exceeding $230 million.

SUIエコシステムの流動性プロバイダーであるCetusは、大幅な流動性深度削減を受けていると疑われ、Cetusの複数のトークン取引ペアが減少し、予想される損失は2億3,000万ドルを超えました。

Cetus was founded in March 2024 by experienced blockchain developers and researchers. The protocol aims to build a decentralized exchange that is fast, efficient, and user-friendly. Cetus provides liquidity provider services for the SUI ecosystem and supports various token trading pairs, such as haSUI/SUI, vSUI/SUI, and USDC/SUI.

Cetusは、経験豊富なブロックチェーン開発者と研究者によって2024年3月に設立されました。このプロトコルは、高速で効率的でユーザーフレンドリーな分散型交換を構築することを目的としています。 Cetusは、SUIエコシステムに流動性プロバイダーサービスを提供し、Hasui/SUI、VSUI/SUI、USDC/SUIなどのさまざまなトークン取引ペアをサポートしています。

After the incident occurred, the SlowMist security team intervened for analysis and issued a security alert. Below is a detailed analysis of the attack method and fund transfer situation.

インシデントが発生した後、スローミストセキュリティチームは分析のために介入し、セキュリティアラートを発行しました。以下は、攻撃方法とファンドの移転状況の詳細な分析です。

The core of this incident is that the attacker carefully constructed parameters to cause overflow while bypassing detection, ultimately allowing a very small token amount to exchange for massive liquidity assets.

このインシデントの中核は、攻撃者が検出をバイパスしながらオーバーフローを引き起こすためにパラメーターを慎重に構築し、最終的に非常に小さなトークン量が大規模な流動性資産と交換できるようにすることです。

The attacker first borrowed 10,024,321.28 haSUI through a flash loan, causing the pool price to plummet from 18,956,530,795,606,879,104 to 18,425,720,184762886, with a price drop of 99.90%.

攻撃者は最初にフラッシュローンを介して10,024,321.28 Hasuiを借用し、18,956,530,795,606,879,104から18,425,720,184762886にプール価格を急落させ、価格は99.90％でした。

The attacker carefully selected an extremely narrow price range to open a liquidity position:

攻撃者は、流動性の位置を開くために非常に狭い価格帯を注意深く選択しました。

Tick lower limit: 300000 (Price: 60,257,519,765,924,248,467,716,150)

下限を刻む：300000（価格：60,257,519,765,924,248,467,716,50）

Tick upper limit: 300200 (Price: 60,863,087,478,126,617,965,993,239)

上限を確認する：300200（価格：60,863,087,478,126,617,965,993,239）

Price range width: only 1.00496621%

価格範囲幅：1.00496621％のみ

Next is the core of this attack, where the attacker claimed to add a massive liquidity of 10,365,647,984,364,446,732,462,244,378,333,008 but due to the vulnerability, the system only accepted 1 token A.

次はこの攻撃の中核であり、攻撃者は10,365,647,984,364,446,732,462,244,378,333,008の大規模な流動性を追加すると主張しましたが、脆弱性のため、システムは1トークンAのみを受け入れました。

Let's analyze why the attacker could exchange a massive liquidity with just 1 token. The core reason lies in the overflow detection bypass vulnerability in the checked_shlw function in the get_delta_a function. The attacker exploited this, causing the system to miscalculate the actual amount of haSUI needed to add. Due to the overflow not being detected, the system misjudged the required amount of haSUI, allowing the attacker to exchange only a very small number of tokens for a large amount of liquidity assets, thus executing the attack.

攻撃者がわずか1つのトークンで大規模な流動性を交換できる理由を分析しましょう。核となる理由は、get_delta_a関数のchecked_shlw関数のオーバーフロー検出バイパスの脆弱性にあります。攻撃者はこれを悪用し、システムが追加するのに必要な実際のHasuiの量を誤って計算しました。オーバーフローが検出されていないため、システムは必要な量のhasUIを誤って判断し、攻撃者は非常に少数のトークンのみを大量の流動性資産と交換できるようにし、攻撃を実行します。

When the system calculates how much haSUI is needed to add such massive liquidity:

システムが、このような大規模な流動性を追加するために必要なHasUIの量を計算するとき：

The key here is that there is a serious flaw in the implementation of the checked_shlw function. In fact, any input value less than 0xffffffffffffffff << 192 will bypass overflow detection. However, when these values are left-shifted by 64 bits, the result exceeds the representable range of u256, causing the high-order data to be truncated, resulting in a obtained value much smaller than the theoretical value. As a result, the system will underestimate the required amount of haSUI in subsequent calculations.

ここで重要なのは、CHECKED_SHLW関数の実装に深刻な欠陥があることです。実際、0xfffffffffffffffffffff << 192未満の入力値はオーバーフロー検出をバイパスします。ただし、これらの値が64ビットでシフトされたままにされると、結果はU256の表現可能な範囲を超えて、高次データが切り捨てられ、理論値よりもはるかに小さい値が得られます。その結果、システムは、その後の計算で必要な量のhasuiを過小評価します。

Error mask: 0xffffffffffffffff << 192 = a very large value (about 2^256 - 2^192)

エラーマスク：0xfffffffffffffffffffffffffffffffffffffffffffffffffffffffffff =非常に大きな値（約2^256-2^192）

Almost all inputs are less than this mask, bypassing overflow detection

ほとんどすべての入力はこのマスクよりも少ないため、オーバーフロー検出をバイパスします

The real problem: when n >= 2^192, n << 64 exceeds the u256 range and gets truncated

本当の問題：n> = 2^192の場合、n << 64はU256範囲を超えて切り捨てられます

The intermediate value constructed by the attacker liquidity * sqrt_price_diff = 6277101735386680763835789423207666908085499738337898853712:

攻撃者の流動性によって構築された中間値 * SQRT_PRICE_DIFF = 62771017353868076383578942320766690808085497383378888853712：

Less than the erroneous mask, bypassing overflow detection

誤ったマスクよりも少なく、オーバーフロー検出をバイパスします

But after left-shifting 64 bits, it exceeds the maximum value of u256, causing the overflow part to be truncated

しかし、左64ビットをシフトした後、U256の最大値を超えてオーバーフローパーツを切り捨てます

This leads to a final calculation result of approximately less than 1, but since it is rounded up, the quotient is calculated to equal 1

これにより、最終的な計算結果が約1未満になりますが、切り上げられているため、商は1に計算されます。

Finally, the attacker removed liquidity and obtained massive token profits:

最後に、攻撃者は流動性を削除し、大規模なトークンの利益を得ました。

First removal: Obtained 10,024,321.28 haSUI

最初の除去：10,024,321.28 hasuiを取得しました