Sui DEX Cetus 表示,智能合约使用的开源库中存在被忽视的漏洞,导致 2.23 亿美元的损失

2025-05-27 20:19:27分享至:

Cetus Protocol 确认其 CLMM 智能合约使用的开源库存在漏洞,导致 2.23 亿美元被盗Sui 公链上的去中心化交易所 Cetus Protocol 近日确认,其 Concentrated Liquidity Market Maker(CLMM,集中流动性做市商)智能合约所使用的一个开源库存在缺陷,攻击者正是利用这一漏洞实施了价值 2.23 亿美元的攻击。Cetus 表示,漏洞源于其 CLMM 合约依赖的 inter_mate 开源库中一个名为 checked_shlw 的方法,该方法在执行整数溢出保护时,错误地以 256 位进行校验,而非应有的 192 位。这一错误使攻击者能够注入异常高的虚假流动性,仅用极少的代币就可以反复操作提取池中资金。据完整事件报告称,攻击手法包括使用闪电兑换操控池中价格,绕过溢出检查机制注入巨额虚假流动性,然后多次移除流动性以套现资产。Cetus 指出,社交媒体上有传言将这次攻击与之前审计报告中提到的 MAX_U64 数学错误关联起来,实际上这是误导,“此次漏洞与该错误无关。”攻击影响及初步响应根据 Cetus 公布的时间线,攻击发生后 30 分钟内,其核心 CLMM 流动性池就被紧急关闭以防止进一步损失,但此时资金已被盗约 2.23 亿美元,导致多个 Sui 生态代币价格大幅波动。攻击发生后约 1 小时 20 分钟,Sui 验证者开始对攻击者地址进行链上投票,超过 33% 的质押权重投票后,攻击者控制的地址(共持有约 1.62 亿美元)被“冻结”,即无法再在 Sui 网络进行交易。此举引发部分社区质疑,认为此举暴露了 Sui 的中心化风险。但链上分析显示,攻击者早已将约 6000 万美元兑换为 USDC,跨链至以太坊,并进一步换成 ETH。合约修复与追讨措施Cetus 表示,漏洞合约已经修复并升级,但尚未重新上线。团队正与 Sui 安全团队及审计合作伙伴重新验证所有升级后的合约,确保其安全后再重启 CLMM 流动性池。同时,Cetus 与区块链数据公司 Inca Digital 向攻击者发出请求,希望其归还被转移至以太坊的 20,920 枚 ETH 及 Sui 钱包中被冻结的资金,并承诺若攻击者归还资金,将不采取进一步法律或公开行动。截至目前,Cetus 尚未收到任何来自攻击者的回复。团队随后悬赏 500 万美元,征集能成功识别并协助抓捕攻击者的有效线索,奖金由 Sui 基金会自行决定发放。社区治理与资金追回提案Cetus 也提议通过链上投票的方式决定是否应通过协议升级,解冻并返还这 1.62 亿美元资金。Cetus 表示:
“我们无法单方面决定这一升级是否应执行。我们建议发起一次链上投票,由包括验证者和 SUI 质押者在内的网络核心参与者共同决定是否应恢复并归还用户资产。”
下一步计划:更强的安全体系Cetus 承认,尽管上线以来在智能合约审计和系统安全上投入巨大,但此次攻击表明以往的“安全感”是虚假的,“我们必须做得更多”。接下来,Cetus 将采取以下加强措施:实施更严密的实时安全监控引入更强的风险管理配置扩大测试覆盖范围增加审计频次,并以里程碑为单位进行评估推行公开透明的代码覆盖率报告机制此外,Cetus 正与生态合作伙伴制定流动性恢复计划,协助受影响的 LP 用户,并协调社区共同决定是否通过升级返还资金。与此同时,法律程序正在进行中,但团队依然希望通过白帽途径和平解决,并表示即将向攻击者发送最后一封通知函。

虚拟币简介

可在虚拟空间购买商品和服务的非真实货币。全部

虚拟币行情

 今日价格24小时涨跌幅24小时成交额总市值

免责声明:作为区块链信息平台,本站所发布文章仅代表作者个人观点,与Bi123立场无关。文章内的信息、意见等均仅供参考,并非作为或视为实际投资建议。

最有价值的区块链信息和数据平台




扫码下载APP添加官方微信
行情机会交流