Slowmist揭示了Cetus如何损失2.3亿美元的精致智能合同利用

区块链安全公司slowmist已发布了针对cetu的2.3亿美元漏洞的详细技术细分，该公司是sui生态系统上的关键流动性提供商。

/>

CETUS漏洞的本质在于在流动性加法操作期间误用了checked_shlw功能。该功能旨在在汇编代码中有效乘法，在处理大量时，特别是在模块化算术系统的背景下，具有限制。

正如Slowmist所解释的那样：“本质上，区块链智能合约中使用的模块化算术系统在有限的数字范围内运行。当操作（例如乘法）导致超过此范围的操作导致剩余的总和超过该范围时，通过将产品除以模量。剩余的结果，将其最终结果成为模块化乘法的最终结果。”

研究人员进一步指出：“ checked_shlw函数旨在执行左移和多重操作，检查过程中的溢出。但是，在一个非常大的乘数与小型乘法中一起使用的情况下，乘法本身可能不会溢出，但是将原始乘数添加到最终产品中。”

据Slowmist称，这种异常现象被攻击者剥削，仅交换一个令牌，以获得大量的流动性，最终耗尽了游泳池。

研究人员总结说：“这是一种精确的工程数学利用。攻击者利用了脆弱的数学功能的边缘案例，以从协议中提取价值数十亿美元的流动性。”

该事件导致代币的值和CETUS的流动性深度急剧下降。作为回应，CETUS团队暂停了智能合同，以防止进一步损失，并进行了全面调查。

Slowmist建议开发人员在智能合同开发中更加关注边界条件。该公司强调，即使是低级数学操作，也需要严格的验证以防止类似的漏洞。

研究人员说：“在流动性加法操作的最后一步中，在特定边界条件下对Checked_SHLW函数的行为进行了溢出是一种复杂的技术，它强调了在区块链安全中精心编码实践的重要性。”

截至目前，CETUS继续与第三方安全专家合作，以修补利用并评估恢复方案。这次攻击增加了2025年越来越多的备受瞩目的Defi漏洞清单，突出了与复杂的链链协议相关的风险。

以上就是Slowmist揭示了Cetus如何损失2.3亿美元的精致智能合同利用的详细内容