【长推】通俗解释 Cetus 黑客攻击事件:暴露了什么问题?
快链头条 2025-05-23 01:46:06
安全Cetus
技术细节拆解:1)漏洞定位:问题出现在 get_amount_by_liquidity 函数的类型转换机制中,从 u256 到 u64 的强制转换导致高位数据丢失。2)攻击流程:攻击者通过 add_liquidity 函数传入极大的流动性数量参数;系统调用 get_delta_b 函数计算所需的 B 代币数量;在计算过程中,两个 u128 类型数据相乘,理论结果应为 u256 类型。关键缺陷:函数返回时将 u256 结果强制转换为 u64,导致高位 128 位数据被截断。3)利用效果:原本需要大量代币才能铸造的流动性额度,现在仅需极少量代币即可完成。攻击者以极低成本获得巨额流动性份额,随后通过销毁部分流动性实现资金池套利。
需要明确一点:这次漏洞与 Sui 的底层安全架构无关,属于 Move 语言的安全性「荣光」暂时还可信。Why?Move 语言在资源管理和类型安全方面确实具备显著优势,能够有效防范双重支付、资源泄露等底层安全问题。但此次 Cetus 协议出现的是应用逻辑层面的数学计算错误,并非 Move 语言本身的设计缺陷。具体而言,Move 的类型系统虽然严格,但对于显式类型转换(explicit casting)操作,仍需依赖开发者的正确判断。当程序主动执行 u256 到 u64 的类型转换时,编译器无法判断这是有意设计还是逻辑错误。
此外,这次安全事件与 Sui 的共识机制、交易处理、状态管理等核心底层功能完全无关。Sui Network 只是忠实执行了 Cetus 协议提交的交易指令,漏洞源于应用层协议本身的逻辑缺陷。说白了,再先进的编程语言也无法完全杜绝应用层的逻辑错误。Move 能够防范大部分底层安全风险,但无法代替开发者进行业务逻辑的边界检查和数学运算的溢出保护。\n原文链接
快链头条登载此文本着传递更多信息的缘由,并不代表赞同其观点或证实其描述。
文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。
投资有风险,入市须谨慎。本资讯不作为投资理财建议。
7*24小时快讯
数据:香港稳定币牌照预计发放量仅为个位数,仍有几十家意向申请处于准备阶段
07-08 16:51(8分钟前)
江西金融公众号转载深圳市「关于警惕以稳定币等名义实施非法集资的风险提示」
07-08 16:49(10分钟前)
第一财经:有 40 多家企业准备申请香港稳定币牌照,预计牌照仅为个位数
07-08 16:46(14分钟前)
OKX Web3推出Web端全局主题色切换
07-08 16:38(21分钟前)
Bonk生态开发协议Graphite代币GP市值突破1.2亿美元创历史新高,24小时涨幅22.2%
07-08 16:37(22分钟前)
Eric Trump 将出席 8 月在香港举行的 Bitcoin Asia
07-08 16:36(24分钟前)
某巨鲸/机构再次从Binance提出700万枚FORM,价值1885万美元
07-08 16:28(32分钟前)
济南政府发文探讨稳定币:价值技术监管三方面稳定,跨境支付应用广泛
07-08 16:20(40分钟前)
热门资讯
风险提示
根据银保监会等五部门于 2018 年 8月发布《关于防范以「虚拟货币」「区块链」名义进行非法集资的风险提示》的文件, 请广大公众理性看待区块链,不要盲目相信天花乱坠的承诺,树立正确的货币观念和投资理念,切实提高风险意识;对发现的违法犯罪线索,可积极向有关部门举报反映。