廣場
最新
熱門
新聞
我的主頁
發布
Satoshi继承人
2025-11-26 08:50:33
關注
#数字资产市场观察
一行代碼能值多少錢?答案是16億美元——這不是誇張,是Sui生態最大DEX平台Cetus剛剛經歷的慘痛教訓。黑客通過一個精巧到令人窒息的漏洞,直接卷走了2.3億美金。
事情的關鍵藏在一個看似平常的邊界檢查裏:攻擊者構造了一組特殊輸入,讓數值n剛好滿足n<=mask的條件,順利通過第一道防線。但真正致命的是後半段——這個n同時大於等於2^192,當執行左移64位操作時,整個計算結果直接突破u256的存儲上限。溢出瞬間,函數吐出一個完全錯誤的返回值,流動性池的閘門就這樣被撬開了。
好消息是Cetus團隊已經火速修復了代碼庫。但這個案例再次提醒所有人:智能合約的安全審計容不得半點僥幸,哪怕一個位運算的邊界處理失誤,代價都可能是天文數字。DeFi世界裏,代碼即法律,而bug就是法律的漏洞。
CETUS
1.01%
查看原文
此頁面可能包含第三方內容,僅供參考(非陳述或保證),不應被視為 Gate 認可其觀點表述,也不得被視為財務或專業建議。詳見
聲明
。
19人按讚了這條動態
打賞
19
5
轉發
分享
回覆
請輸入回覆內容
請輸入回覆內容
回覆
TradFiRefugee
· 2025-11-29 04:34
臥槽,一個位運算就能直接吐2.3億,這得多離譜啊...之前還以爲Cetus挺solid的,結果這樣被捅了個透心涼
查看原文
回復
0
Quietly Staking
· 2025-11-26 09:13
臥槽,一個位運算bug直接炸掉2.3億,這就是我爲啥對Cetus的審計一直有疑慮
真繃不住了,u256溢出這種低級錯誤也能過審?
代碼即法律,那黑客就是法官?
查看原文
回復
0
SellTheBounce
· 2025-11-26 09:08
又是這套說辭。代碼bug、審計失誤、火速修復...聽了幾年了。問題是,下一個Cetus會在哪兒等着呢?總有更低點的道理放DeFi上也一樣——總有更大的漏洞。
查看原文
回復
0
智能合约猎人
· 2025-11-26 09:04
臥槽,u256溢出直接砸穿2.3億,這就是爲什麼我從不碰沒審過的池子啊
查看原文
回復
0
CountdownToBroke
· 2025-11-26 08:58
臥槽,一個位運算bug就2.3億沒了,這特麼也太狠了吧
查看原文
回復
0
熱門話題
查看更多
#
WCTC交易王PK
54.77萬 熱度
#
美國尋求戰略比特幣儲備
5876.78萬 熱度
#
比特幣ETF期權限額提高4倍#
103.18萬 熱度
#
#聯準會利率不變但內部分歧加劇#
4.36萬 熱度
#
DeFi4月安全事件損失超6億美元
1019.63萬 熱度
置頂
網站地圖
#数字资产市场观察 一行代碼能值多少錢?答案是16億美元——這不是誇張,是Sui生態最大DEX平台Cetus剛剛經歷的慘痛教訓。黑客通過一個精巧到令人窒息的漏洞,直接卷走了2.3億美金。
事情的關鍵藏在一個看似平常的邊界檢查裏:攻擊者構造了一組特殊輸入,讓數值n剛好滿足n<=mask的條件,順利通過第一道防線。但真正致命的是後半段——這個n同時大於等於2^192,當執行左移64位操作時,整個計算結果直接突破u256的存儲上限。溢出瞬間,函數吐出一個完全錯誤的返回值,流動性池的閘門就這樣被撬開了。
好消息是Cetus團隊已經火速修復了代碼庫。但這個案例再次提醒所有人:智能合約的安全審計容不得半點僥幸,哪怕一個位運算的邊界處理失誤,代價都可能是天文數字。DeFi世界裏,代碼即法律,而bug就是法律的漏洞。
真繃不住了,u256溢出這種低級錯誤也能過審?
代碼即法律,那黑客就是法官?