Cetus-Protokoll-Hack: Überlauf-Fehler führt zu einem Verlust von $223M
Am 22. Mai 2025 erlitt das Cetus-Protokoll, ein bedeutender DEX auf der Sui-Blockchain, einen katastrophalen Exploit. Ein subtiler arithmetischer Überlauf-Fehler ermöglichte es einem Angreifer, ~$223 Millionen abzuziehen, was ihn zu einem der größten DeFi-Hacks des Jahres machte.
Der Angreifer verwendete Flash-Darlehen, um große Mengen von tokenA zu leihen und eröffnete eine Position innerhalb eines eng definierten Preisbereichs — [300000, 300200]. Durch das Hinzufügen von nur 1 Einheit von tokenA konnten sie eine übermäßige Menge an Liquidität prägen.
Im Kern des Problems lag eine fehlerhafte Funktion: get_delta_a, die berechnet, wie viel von tokenA erforderlich ist, um Liquidität zu prägen. Die Funktion verwendete eine fehlerhafte checked_shlw Operation, die es versäumte, Werte abzulehnen, die ein 192-Bit-Limit überschreiten, was zu einem Überlauf führte. Dies bewirkte, dass Berechnungen auf eine viel kleinere Zahl zurückgesetzt wurden, wodurch der Angreifer nur 1 Token bereitstellen, aber Liquidität im Wert von Millionen erhalten konnte.
Nach erfolgreichem Prägen und Abheben der Liquidität zahlte der Angreifer das Flash-Darlehen zurück und behielt den Gewinn. Danach brachte er ~$62M USDC über Wormhole nach Ethereum und tauschte es gegen ETH. Der Rest der Mittel (~$162M) wurde von Sui-Validatoren eingefroren, bevor sie bewegt werden konnten.
Was ging schief?
Die Verwundbarkeit lag in unkontrollierter arithmetischer Logik. Insbesondere trat der Überlauf auf, als große Ganzzahlen multipliziert und verschoben wurden. Da DeFi-Protokolle oft mit riesigen Zahlen für Präzision umgehen, kann das Versäumnis, Überläufe zu behandeln, eine tickende Zeitbombe sein.
Der Fehler von Cetus ermöglichte es Angreifern, Sicherheitsprüfungen zu umgehen und den Pool wiederholt auszunutzen. Es ist ein klassisches Beispiel dafür, wie eine einzige Zeile fehlerhafter Logik ein ganzes Protokoll zum Zusammenbrechen bringen kann.
Hätte dies verhindert werden können?
Ja. Der Fehler hätte mit ordnungsgemäßer Eingangsvalidierung, Überlaufprüfungen und strengen externen Prüfungen entdeckt werden können. Das Verständnis dafür, wie große Ganzzahlen auf Compiler-Ebene funktionieren, ist für die DeFi-Entwicklung entscheidend, wird jedoch oft übersehen.
#MarketRebound #cryptonewstoday #Cryptonewsdaily #BinanceSquareTalks #kosheunti'scontent.
