#数字资产市场观察 كم تساوي سطر واحد من الشيفرة البرمجية؟ الجواب هو 1.6 مليار دولار - هذه ليست مبالغة، بل هي الدرس المؤلم الذي مرت به أكبر منصة DEX في نظام Sui البيئي، Cetus. هاكر استغل ثغرة بارعة بشكل مذهل وسرق 230 مليون دولار مباشرة.

تتعلق النقطة الأساسية بعملية فحص الحدود التي تبدو عادية: قام المهاجم بإنشاء مجموعة من المدخلات الخاصة، بحيث تلبي القيمة n شرط n<=mask، مما يسمح له بالمرور بنجاح عبر الخط الدفاعي الأول. لكن الأمر القاتل هو الجزء الثاني - هذا n أكبر من أو يساوي 2^192، وعند تنفيذ عملية الإزاحة إلى اليسار بمقدار 64 بت، تتجاوز النتيجة الحسابية الحد الأقصى لتخزين u256. في لحظة تجاوز السعة، يقوم الدالة بإرجاع قيمة خاطئة تمامًا، وبهذه الطريقة تم فتح بوابة تجمع السيولة.

الخبر الجيد هو أن فريق Cetus قد أصلح بسرعة شفرة المصدر. لكن هذه الحالة تذكير آخر للجميع: تدقيق أمان العقود الذكية لا يقبل أي نوع من الحظ، حتى خطأ بسيط في معالجة حدود العمليات قد يكلف ثروة طائلة. في عالم DeFi، الشفرة هي القانون، والخلل هو ثغرة في القانون.

CETUS-7.5%

شاهد النسخة الأصلية

قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.

تسجيلات الإعجاب 19

أعجبني
19
5
إعادة النشر
مشاركة

تعليق

0/400

TradFiRefugee

· 11-29 04:34

يا إلهي، عملية واحدة فقط يمكن أن تجلب 230 مليون مباشرة، كم هو جنوني... كنت أعتقد أن Cetus قوي جداً، لكن اتضح أنه تم طعنه بعمق.

شاهد النسخة الأصليةرد0

QuietlyStaking

· 11-26 09:13

واو، خطأ في العمليات البتية أدى إلى خسارة 230 مليون، وهذا هو السبب في أنني كنت دائمًا أشك في تدقيق Cetus لم أعد أستطيع التحمل، هل يمكن أن تمر مثل هذه الأخطاء البدائية مثل overflow u256؟ الشيفرة هي القانون، فهل هاكر هو القاضي؟

شاهد النسخة الأصليةرد0

SellTheBounce

· 11-26 09:08

مرة أخرى هذا الفخ. أخطاء في الشيفرة، أخطاء في التدقيق، إصلاحات سريعة... لقد سمعت هذا لعدة سنوات. المشكلة هي، أين سيكون Cetus التالي في انتظارك؟ دائماً هناك نقطة أدنى منطقية لوضع التمويل اللامركزي عليها - دائماً هناك ثغرات أكبر.

شاهد النسخة الأصليةرد0

ContractHunter