SUI'de Cetus'a yapılan saldırıdan sonra, SUI'yi kapsamlı bir şekilde anlayalım. Bu makale, Aquarius Capital ve Klein Labs tarafından, özellikle NAVI Protokolü, Bucket Protokolü ve diğer ekolojik projelere ve araştırma sürecindeki teknik rehberlikleri ve destekleri için Comma3 Ventures'a teşekkür ederek ortaklaşa yayınlanmaktadır. Sui Vakfı, bilgisayar korsanlarından dondurulan 160 milyon doları nasıl serbest bırakacak? (Arka plan eklendi: Cetus saldırısının kurbanları ne düşünüyor?) Sui ekibi, iki temel koşulla (TL) "tam geri ödeme" taahhüdü talep etti; DR 1.Cetus güvenlik açığı, SUI veya Move dilinin kendisinden değil, sözleşme uygulamasından kaynaklanır: Bu saldırının temel nedeni, Cetus protokolündeki aritmetik fonksiyonların eksik sınır kontrolünde yatmaktadır - çok geniş bir maske ve yer değiştirme taşmasının neden olduğu bir mantık güvenlik açığı, SUI zinciri veya Move dilinin kaynak güvenlik modeli ile hiçbir ilgisi yoktur. Güvenlik açıkları, tüm ekosistemin temel güvenliğini etkilemeden "tek satırlık sınır kontrolü" ile düzeltilebilir. 2. SUI mekanizmasındaki "rasyonel merkezileşme" krizde değer gösterir: SUI, DPoS doğrulayıcı turları ve kara liste dondurmaları gibi özellikleri merkezileştirme konusunda hafif bir eğilime sahip olsa da, bu CETUS olay müdahalesinde kullanışlıdır: doğrulayıcılar kötü amaçlı adresleri hızlı bir şekilde Reddedilenler Listesi ile senkronize eder, ilgili işlemleri paketlemeyi reddeder ve 160 milyon dolardan fazla fonun anında dondurulmasını sağlar. Bu esasen olumlu bir "zincir üstü Keynesçilik"tir ve etkili makro kontrol ekonomik sistemde olumlu bir rol oynamıştır. 3. Teknik güvenlik üzerine düşünme ve öneriler: Matematik ve sınır doğrulama: Tüm temel aritmetik işlemler (yer değiştirme, çarpma ve bölme gibi) için üst ve alt sınır iddialarını tanıtın ve aşırı değer bulanıklaştırma ve resmi doğrulama gerçekleştirin. Ek olarak, denetim ve izlemeyi geliştirmek gerekir: genel kod denetimine ek olarak, anormal bölünmeleri veya büyük flaş kredileri mümkün olduğunca erken yakalamak için profesyonel bir matematiksel denetim ekibi ve gerçek zamanlı zincir içi işlem davranışı tespiti ekleyin; 4. Finansman garanti mekanizmasının özeti ve önerileri: Cetus olayında, SUI ve proje ekibi, 160 milyon ABD dolarından fazla fonu başarılı bir şekilde dondurmak ve güçlü zincir içi esnekliği ve ekolojik sorumluluğu yansıtan %100 tazminat planını teşvik etmek için verimli bir şekilde işbirliği yaptı. SUI Vakfı ayrıca güvenlik hattını güçlendirmek için 10 milyon dolarlık ek bir denetim fonu sağladı. Gelecekte, zincir üstü izleme sistemleri, topluluk tarafından oluşturulan güvenlik araçları ve merkezi olmayan sigorta gibi mekanizmaları daha da teşvik edebilir ve fon koruma sistemini iyileştirebiliriz. 5. SUI ekosisteminin çeşitlendirilmiş genişlemesi SUI, iki yıldan kısa bir sürede "yeni zincir"den "güçlü ekoloji"ye geçişi hızla gerçekleştirdi ve sabit paraları, DEX'i, altyapıyı, DePIN'leri, oyunları ve diğer parkurları kapsayan çeşitlendirilmiş bir ekolojik bölge inşa etti. Stablecoin'lerin toplam boyutu 1 milyar doları aştı ve DeFi modülleri için sağlam bir likidite temeli sağladı; TVL, dünyada 8., ticaret faaliyetinde 5. ve EVM olmayan ağlarda (Bitcoin ve Solana'nın arkasında) 3. sırada yer alıyor ve güçlü kullanıcı katılımı ve varlık daldırması gösteriyor. 1. Bir saldırının dalgalanma etkisi 22 Mayıs 2025'te, SUI ağında konuşlandırılan baş AMM protokolü Cetus, saldırıya uğradı ve hassas manipülasyon başlatmak için "tamsayı taşması sorunu" ile ilgili bir mantık güvenlik açığından yararlanarak 200 milyon dolardan fazla varlık kaybına neden oldu. Bu olay, yalnızca bu yıl şimdiye kadar DeFi alanındaki en büyük güvenlik olaylarından biri değil, aynı zamanda SUI ana ağının piyasaya sürülmesinden bu yana en yıkıcı hack olayı. DefiLlama verilerine göre, SUI'nin tam zincir TVL'si saldırı gününde 330 milyon dolardan fazla düştü ve Cetus protokolünün kendi kilitleme miktarı anında %84 artarak 38 milyon dolara geriledi. Kaskaddan etkilenen, birden fazla SUI'deki (Lofi, Sudeng, Squirtle vb. dahil) popüler tokenler sadece bir saat içinde %76 ila %97 oranında düştü ve SUI'lerin güvenliği ve ekolojik istikrarı hakkında yaygın bir endişeyi tetikledi. Ancak bu şok dalgasından sonra, SUI ekosistemi güçlü bir direnç ve dayanıklılık gösterdi. Cetus olayı kısa vadede güven dalgalanmalarına yol açmış olsa da, zincir üstü fonlar ve kullanıcı etkinliği sürekli bir düşüş yaşamadı, ancak tüm ekosistemi güvenlik, altyapı inşaatı ve proje kalitesine dikkat etmeye teşvik etti. Klein Labs, bu saldırının nedenine, SUI'nin düğüm konsensüs mekanizmasına, MOVE dilinin güvenliğine ve SUI'nin ekolojik gelişimine odaklanacak, hala gelişimin erken aşamasında olan bu kamu zincirinin mevcut ekolojik modelini çözecek ve gelecekteki gelişme potansiyelini keşfedecek. 2. Cetus olayının nedenlerinin analizi 2.1 Saldırı uygulama süreci Slow Mist ekibi tarafından gerçekleştirilen Cetus saldırısının teknik analizine göre, bilgisayar korsanları protokoldeki önemli bir aritmetik yayılma güvenlik açığından başarıyla yararlandı ve flaş krediler, hassas fiyat manipülasyonu ve sözleşme kusurlarının yardımıyla kısa sürede 200 milyon dolardan fazla dijital varlık çaldı. Saldırı yolu kabaca aşağıdaki üç aşamaya ayrılabilir: (1) Flaş krediler başlatın ve fiyatları manipüle edin Bilgisayar korsanları ilk olarak büyük miktarda borç vermek ve fiyat manipülasyonu yapmak için 10 milyar haSUI flaş kredisinin maksimum kayma flaş değişimini kullanır. Flaş krediler, kullanıcıların aynı işlemde yalnızca bir ücretle, yüksek kaldıraç, düşük risk ve düşük maliyetle borç almalarına ve para iade etmelerine olanak tanır. Bilgisayar korsanları, piyasa fiyatını kısa sürede düşürmek ve son derece dar bir aralıkta hassas bir şekilde kontrol etmek için bu mekanizmayı kullandılar. Saldırgan daha sonra son derece dar bir likidite pozisyonu oluşturmaya hazırlanır ve fiyat aralığını tam olarak en düşük fiyat olan 300.000 (ve maksimum fiyat olan 300.200) arasında ve yalnızca %1.00496621'lik bir fiyat genişliği ile ayarlar. Yukarıdaki yöntemler sayesinde, bilgisayar korsanları yeterince büyük sayıda token ve büyük likidite kullanarak haSUI fiyatını başarılı bir şekilde manipüle etti. Daha sonra, gerçek değeri olmayan birkaç jetonu manipüle ettiler. (2) Likidite ekleyin Saldırgan dar bir likidite pozisyonu oluşturur, likidite ekleyeceğini beyan eder, ancak checked_shlw fonksiyonunun güvenlik açığı nedeniyle, sonunda yalnızca 1 token ücretlendirilir. Bunun temel olarak iki nedeni vardır: Maske çok geniş bir şekilde ayarlanmıştır: likidite için büyük bir üst limite eşdeğerdir, bu da sözleşmedeki kullanıcı girişinin doğrulanmasının işe yaramaz olmasına neden olur. Bilgisayar korsanları, girişin her zaman bu üst sınırın altında olması için istisna parametrelerini ayarlayarak taşma algılamasını atladı. Veri taşması kesildi: n << 64 değerinde bir kaydırma işlemi gerçekleştirilirken, kaydırma uint256 veri türünün etkin bit genişliğini (256 bit) aştığı için veri kesilmesi meydana geldi. Yüksek taşma otomatik olarak atılır, bu da beklenenden çok daha düşük sonuçlara yol açar ve sistemin dönüştürme için gereken haSUI miktarını hafife almasına neden olur. Nihai hesaplama sonucu yaklaşık 1'den küçüktür, ancak yuvarlandığı için nihai hesaplama 1'e eşittir, yani bilgisayar korsanının büyük likidite alışverişi yapmak için yalnızca 1 jeton eklemesi gerekir. (3) Likiditeyi geri çekin: Flaş kredi geri ödemeleri yapın ve büyük karlar elde edin. Sonunda, yüz milyonlarca dolar değerinde token varlığı birden fazla likidite havuzundan sifonlandı. Fon kaybı şiddetliydi ve saldırı aşağıdaki varlıkların çalınmasıyla sonuçlandı: 12,9 milyon SUI (yaklaşık 54 milyon dolar) 60 milyon dolar USDC 4,9 milyon dolar Haedal Staked SUI 19,5 milyon dolar TUVALET Diğer nesiller...
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Saldırıdan sonra inanç kaynağı: Neden SUI hala uzun vadeli yükseliş potansiyeline sahip?
SUI'de Cetus'a yapılan saldırıdan sonra, SUI'yi kapsamlı bir şekilde anlayalım. Bu makale, Aquarius Capital ve Klein Labs tarafından, özellikle NAVI Protokolü, Bucket Protokolü ve diğer ekolojik projelere ve araştırma sürecindeki teknik rehberlikleri ve destekleri için Comma3 Ventures'a teşekkür ederek ortaklaşa yayınlanmaktadır. Sui Vakfı, bilgisayar korsanlarından dondurulan 160 milyon doları nasıl serbest bırakacak? (Arka plan eklendi: Cetus saldırısının kurbanları ne düşünüyor?) Sui ekibi, iki temel koşulla (TL) "tam geri ödeme" taahhüdü talep etti; DR 1.Cetus güvenlik açığı, SUI veya Move dilinin kendisinden değil, sözleşme uygulamasından kaynaklanır: Bu saldırının temel nedeni, Cetus protokolündeki aritmetik fonksiyonların eksik sınır kontrolünde yatmaktadır - çok geniş bir maske ve yer değiştirme taşmasının neden olduğu bir mantık güvenlik açığı, SUI zinciri veya Move dilinin kaynak güvenlik modeli ile hiçbir ilgisi yoktur. Güvenlik açıkları, tüm ekosistemin temel güvenliğini etkilemeden "tek satırlık sınır kontrolü" ile düzeltilebilir. 2. SUI mekanizmasındaki "rasyonel merkezileşme" krizde değer gösterir: SUI, DPoS doğrulayıcı turları ve kara liste dondurmaları gibi özellikleri merkezileştirme konusunda hafif bir eğilime sahip olsa da, bu CETUS olay müdahalesinde kullanışlıdır: doğrulayıcılar kötü amaçlı adresleri hızlı bir şekilde Reddedilenler Listesi ile senkronize eder, ilgili işlemleri paketlemeyi reddeder ve 160 milyon dolardan fazla fonun anında dondurulmasını sağlar. Bu esasen olumlu bir "zincir üstü Keynesçilik"tir ve etkili makro kontrol ekonomik sistemde olumlu bir rol oynamıştır. 3. Teknik güvenlik üzerine düşünme ve öneriler: Matematik ve sınır doğrulama: Tüm temel aritmetik işlemler (yer değiştirme, çarpma ve bölme gibi) için üst ve alt sınır iddialarını tanıtın ve aşırı değer bulanıklaştırma ve resmi doğrulama gerçekleştirin. Ek olarak, denetim ve izlemeyi geliştirmek gerekir: genel kod denetimine ek olarak, anormal bölünmeleri veya büyük flaş kredileri mümkün olduğunca erken yakalamak için profesyonel bir matematiksel denetim ekibi ve gerçek zamanlı zincir içi işlem davranışı tespiti ekleyin; 4. Finansman garanti mekanizmasının özeti ve önerileri: Cetus olayında, SUI ve proje ekibi, 160 milyon ABD dolarından fazla fonu başarılı bir şekilde dondurmak ve güçlü zincir içi esnekliği ve ekolojik sorumluluğu yansıtan %100 tazminat planını teşvik etmek için verimli bir şekilde işbirliği yaptı. SUI Vakfı ayrıca güvenlik hattını güçlendirmek için 10 milyon dolarlık ek bir denetim fonu sağladı. Gelecekte, zincir üstü izleme sistemleri, topluluk tarafından oluşturulan güvenlik araçları ve merkezi olmayan sigorta gibi mekanizmaları daha da teşvik edebilir ve fon koruma sistemini iyileştirebiliriz. 5. SUI ekosisteminin çeşitlendirilmiş genişlemesi SUI, iki yıldan kısa bir sürede "yeni zincir"den "güçlü ekoloji"ye geçişi hızla gerçekleştirdi ve sabit paraları, DEX'i, altyapıyı, DePIN'leri, oyunları ve diğer parkurları kapsayan çeşitlendirilmiş bir ekolojik bölge inşa etti. Stablecoin'lerin toplam boyutu 1 milyar doları aştı ve DeFi modülleri için sağlam bir likidite temeli sağladı; TVL, dünyada 8., ticaret faaliyetinde 5. ve EVM olmayan ağlarda (Bitcoin ve Solana'nın arkasında) 3. sırada yer alıyor ve güçlü kullanıcı katılımı ve varlık daldırması gösteriyor. 1. Bir saldırının dalgalanma etkisi 22 Mayıs 2025'te, SUI ağında konuşlandırılan baş AMM protokolü Cetus, saldırıya uğradı ve hassas manipülasyon başlatmak için "tamsayı taşması sorunu" ile ilgili bir mantık güvenlik açığından yararlanarak 200 milyon dolardan fazla varlık kaybına neden oldu. Bu olay, yalnızca bu yıl şimdiye kadar DeFi alanındaki en büyük güvenlik olaylarından biri değil, aynı zamanda SUI ana ağının piyasaya sürülmesinden bu yana en yıkıcı hack olayı. DefiLlama verilerine göre, SUI'nin tam zincir TVL'si saldırı gününde 330 milyon dolardan fazla düştü ve Cetus protokolünün kendi kilitleme miktarı anında %84 artarak 38 milyon dolara geriledi. Kaskaddan etkilenen, birden fazla SUI'deki (Lofi, Sudeng, Squirtle vb. dahil) popüler tokenler sadece bir saat içinde %76 ila %97 oranında düştü ve SUI'lerin güvenliği ve ekolojik istikrarı hakkında yaygın bir endişeyi tetikledi. Ancak bu şok dalgasından sonra, SUI ekosistemi güçlü bir direnç ve dayanıklılık gösterdi. Cetus olayı kısa vadede güven dalgalanmalarına yol açmış olsa da, zincir üstü fonlar ve kullanıcı etkinliği sürekli bir düşüş yaşamadı, ancak tüm ekosistemi güvenlik, altyapı inşaatı ve proje kalitesine dikkat etmeye teşvik etti. Klein Labs, bu saldırının nedenine, SUI'nin düğüm konsensüs mekanizmasına, MOVE dilinin güvenliğine ve SUI'nin ekolojik gelişimine odaklanacak, hala gelişimin erken aşamasında olan bu kamu zincirinin mevcut ekolojik modelini çözecek ve gelecekteki gelişme potansiyelini keşfedecek. 2. Cetus olayının nedenlerinin analizi 2.1 Saldırı uygulama süreci Slow Mist ekibi tarafından gerçekleştirilen Cetus saldırısının teknik analizine göre, bilgisayar korsanları protokoldeki önemli bir aritmetik yayılma güvenlik açığından başarıyla yararlandı ve flaş krediler, hassas fiyat manipülasyonu ve sözleşme kusurlarının yardımıyla kısa sürede 200 milyon dolardan fazla dijital varlık çaldı. Saldırı yolu kabaca aşağıdaki üç aşamaya ayrılabilir: (1) Flaş krediler başlatın ve fiyatları manipüle edin Bilgisayar korsanları ilk olarak büyük miktarda borç vermek ve fiyat manipülasyonu yapmak için 10 milyar haSUI flaş kredisinin maksimum kayma flaş değişimini kullanır. Flaş krediler, kullanıcıların aynı işlemde yalnızca bir ücretle, yüksek kaldıraç, düşük risk ve düşük maliyetle borç almalarına ve para iade etmelerine olanak tanır. Bilgisayar korsanları, piyasa fiyatını kısa sürede düşürmek ve son derece dar bir aralıkta hassas bir şekilde kontrol etmek için bu mekanizmayı kullandılar. Saldırgan daha sonra son derece dar bir likidite pozisyonu oluşturmaya hazırlanır ve fiyat aralığını tam olarak en düşük fiyat olan 300.000 (ve maksimum fiyat olan 300.200) arasında ve yalnızca %1.00496621'lik bir fiyat genişliği ile ayarlar. Yukarıdaki yöntemler sayesinde, bilgisayar korsanları yeterince büyük sayıda token ve büyük likidite kullanarak haSUI fiyatını başarılı bir şekilde manipüle etti. Daha sonra, gerçek değeri olmayan birkaç jetonu manipüle ettiler. (2) Likidite ekleyin Saldırgan dar bir likidite pozisyonu oluşturur, likidite ekleyeceğini beyan eder, ancak checked_shlw fonksiyonunun güvenlik açığı nedeniyle, sonunda yalnızca 1 token ücretlendirilir. Bunun temel olarak iki nedeni vardır: Maske çok geniş bir şekilde ayarlanmıştır: likidite için büyük bir üst limite eşdeğerdir, bu da sözleşmedeki kullanıcı girişinin doğrulanmasının işe yaramaz olmasına neden olur. Bilgisayar korsanları, girişin her zaman bu üst sınırın altında olması için istisna parametrelerini ayarlayarak taşma algılamasını atladı. Veri taşması kesildi: n << 64 değerinde bir kaydırma işlemi gerçekleştirilirken, kaydırma uint256 veri türünün etkin bit genişliğini (256 bit) aştığı için veri kesilmesi meydana geldi. Yüksek taşma otomatik olarak atılır, bu da beklenenden çok daha düşük sonuçlara yol açar ve sistemin dönüştürme için gereken haSUI miktarını hafife almasına neden olur. Nihai hesaplama sonucu yaklaşık 1'den küçüktür, ancak yuvarlandığı için nihai hesaplama 1'e eşittir, yani bilgisayar korsanının büyük likidite alışverişi yapmak için yalnızca 1 jeton eklemesi gerekir. (3) Likiditeyi geri çekin: Flaş kredi geri ödemeleri yapın ve büyük karlar elde edin. Sonunda, yüz milyonlarca dolar değerinde token varlığı birden fazla likidite havuzundan sifonlandı. Fon kaybı şiddetliydi ve saldırı aşağıdaki varlıkların çalınmasıyla sonuçlandı: 12,9 milyon SUI (yaklaşık 54 milyon dolar) 60 milyon dolar USDC 4,9 milyon dolar Haedal Staked SUI 19,5 milyon dolar TUVALET Diğer nesiller...