بررسی پسازمرگ هک سِتوس نشاندهنده باگ سرریز در پسِ سوءاستفاده ۲۲۳ میلیون دلاری
محققان شرکت امنیت بلاکچین Dedaub در گزارش خود میگویند که هکرها از یک نقص سرریز (overflow) در منطق بازارساز خودکار (AMM) پروتکل سِتوس سوءاستفاده کردند و بیش از ۲۲۳ میلیون دلار از کاربران را از دستشان خارج کردند.
این باگ مرتبط با نحوهٔ پردازش اعداد بزرگ بود که یک شرط اشتباه باعث میشد بیتهای مهم ورودیهای عددی بزرگ کنترل نشوند و «نتیجهٔ موردنظر را تولید نکنند». بهجای رد مقادیر بزرگ، سیستم آنها را برش میداد و خروجی بسیار کمتر از مقدار واقعی نشان میداد. هکرها با واریز تنها یک توکن، پروتکل را فریب دادند تا موقعیت نقدینگی عظیمی برایشان ثبت کند و سپس مقادیر زیادی دارایی واقعی را از استخرها برداشت کردند.
شرکت امنیتی Ottersec نیز در اوایل ۲۰۲۳ این باگ را هنگام حسابرسی نسخه Aptos پروتکل شناسایی کرده بود، اما پس از انتقال کد به شبکه Sui، مشکل همچنان باقی ماند. تلاشهای توسعهدهندگان برای افزودن محافظ سرریز ناکافی بود و هک از همین نقطه عبور کرد.
Dedaub هشدار داده که «این حادثه نشان میدهد موارد لبهای در دیفای نباید نادیده گرفته شوند» و بر ضرورت بررسی دستی حفاظهای سرریز، بهویژه در محاسبات با اعداد بزرگ، تأکید کرده است.
این هک که در ساعات اولیه ۲۲ مه رخ داد، یکی از بزرگترین خسارتها در اکوسیستم Sui است. پس از انتشار خبر، توکنهای SUI و CETUS بیش از ۴۰٪ کاهش قیمت داشتند و حتی میمکوینها بیش از ۹۰٪ از ارزششان را از دست دادند.
بنیاد Sui در واکنش با هماهنگی اعتبارسنجها حدود ۱۶۳ میلیون دلار از وجوه سرقتشده را مسدود کرد و پروتکل سِتوس جایزهٔ ۵ میلیون دلاری برای اطلاعات منتهی به عاملان هک تعیین کرد.