Slowmist는 Cetus가 정교한 스마트 계약 익스플로잇으로 $ 230m를 잃어버린 방법을 밝혀냅니다.

블록 체인 보안 회사 인 Slowmist는 SUI 생태계의 주요 유동성 공급 업체 인 Cetus를 대상으로 한 2 억 2 천만 달러의 악용에 대한 자세한 기술 분석을 발표했습니다.

The essence of the Cetus exploit lies in the misusage of the checked_shlw function during a liquidity addition operation. This function, designed for efficient multiplication in assembly code, has a limitation when dealing with large numbers, specifically in the context of a modular arithmetic system.

Cetus 익스플로잇의 본질은 유동성 추가 작업 중 checked_shlw 함수의 오해에 있습니다. 어셈블리 코드의 효율적인 곱셈을 위해 설계된이 기능은 많은 수를 다룰 때, 특히 모듈 식 산술 시스템의 맥락에서 제한이 있습니다.

As explained by SlowMist, "In essence, the modular arithmetic system used in blockchain smart contracts operates within a limited range of numbers. When an operation, such as multiplication, results in a sum exceeding this range, a remainder is calculated by dividing the product by the modulus. This remainder, in turn, becomes the final result of the modular multiplication."

SlowMist가 설명한 바와 같이, 본질적으로, 블록 체인 스마트 계약에 사용되는 모듈 식 산술 시스템은 제한된 범위 내에서 작동합니다. 곱셈과 같은 작업 이이 범위를 초과하는 합계를 초과하면 나머지는 모듈러스로 제품을 나누어 계산됩니다.

The researchers further noted that "the checked_shlw function is meant to perform a left shift and multiply operation, checking for overflow in the process. However, in a scenario where a very large multiplier is used with a small multiplicand, the multiplication itself might not overflow, but the addition of the original multiplicand to the final product might."

연구원들은 또한 "Checked_shlw 함수는 왼쪽 시프트 및 곱셈 작업을 수행하여 프로세스의 오버플로를 점검하기위한 것입니다. 그러나 작은 승수와 함께 매우 큰 승수가 사용되는 시나리오에서는 곱셈 자체가 오버플로가 아니라 최종 제품에 추가 할 수 있습니다."

This anomaly, according to SlowMist, was exploited by the attacker to exchange just one token for an outsized share of liquidity, ultimately draining the pools.

Slowmist에 따르면이 이상은 공격자가 하나의 토큰을 유동성의 비율로 교환하여 궁극적으로 수영장을 배수하기 위해 악용되었습니다.

"This was a precision-engineered mathematical exploit. The attacker exploited the edge cases of a vulnerable math function to extract liquidity worth billions from the protocol," the researchers concluded.

"이것은 정밀 엔지니어링 수학적 악용이었다. 공격자는이 프로토콜에서 수십억 달러의 유동성을 추출하기 위해 취약한 수학 기능의 가장자리 사례를 이용했다"고 연구원들은 결론 지었다.

The incident led to a sharp decline in token pair values and liquidity depth across Cetus. In response, the Cetus team suspended the smart contract to prevent further loss and launched a full investigation.

이 사건으로 인해 토큰 쌍 값과 Cetus의 유동성 깊이가 급격히 감소했습니다. 이에 따라 Cetus 팀은 추가 손실을 방지하기 위해 스마트 계약을 중단하고 전체 조사를 시작했습니다.

SlowMist has advised developers to pay closer attention to boundary conditions in smart contract development. The firm highlighted that even low-level math operations require rigorous validation to prevent similar vulnerabilities.

Slowmist는 스마트 계약 개발의 경계 조건에 더 많은주의를 기울 이도록 개발자에게 조언했습니다. 이 회사는 저수준 수학 운영조차도 유사한 취약점을 방지하기 위해 엄격한 검증이 필요하다는 것을 강조했습니다.

"The exploitation of the checked_shlw function's behavior in specific boundary conditions to perform an addition operation and trigger an overflow in the final step of the liquidity addition operation is a sophisticated technique that underscores the importance of meticulous coding practices in blockchain security," the researchers said.

"유동성 추가 작업의 마지막 단계에서 추가 작업을 수행하고 오버플로를 트리거하기 위해 특정 경계 조건에서 Checked_Shlw 함수의 동작을 활용하는 것은 블록 체인 보안에서 세심한 코딩 관행의 중요성을 강조하는 정교한 기술입니다."

As of now, Cetus continues to work with third-party security experts to patch the exploit and assess recovery options. This attack adds to a growing list of high-profile DeFi breaches in 2025, highlighting the risks associated with complex on-chain protocols.

현재 Cetus는 타사 보안 전문가와 계속 협력하여 악용 및 복구 옵션을 평가하고 평가합니다. 이 공격은 2025 년에 증가하는 유명한 결함 침해 목록을 추가하여 복잡한 온쇄 프로토콜과 관련된 위험을 강조합니다.