في 22 مايو 2025، تعرضت Cetus لهجوم معقد على العقود الذكية في بركة CLMM. لقد اتخذنا إجراءات فورية للتخفيف من الأثر، ويهدف هذا التقرير إلى الكشف بشفافية عن الجدول الزمني للحدث، وتحليل الأسباب، وحالة الأموال، والخطط اللاحقة، ودفع الأمور اللاحقة بشكل مشترك.
خط الزمن للأحداث
UTC الوقت 10:30:50 - الهجوم بدأ من خلال معاملات غير طبيعية.
UTC الوقت 10:40:00 - نظام المراقبة اكتشف سلوك غير طبيعي في حوض الأموال.
في الساعة 10:53:00 بتوقيت UTC - قام فريق Cetus بتحديد مصدر الهجوم وأصدر تحذيرًا لأعضاء نظام Sui البيئي.
UTC الوقت 10:57:47 – تم تعطيل تجمع CLMM الأساسي لمنع اتساع الخسائر.
الوقت بتوقيت UTC 11:20:00 - تم تعطيل جميع العقود الذكية ذات الصلة على مستوى العالم.
بتوقيت UTC 12:50:00 - بدأ مصادقو Sui بالتصويت على رفض معالجة المعاملات الموقعة من قبل عنوان المهاجم، وعندما تجاوزت نسبة التصويت 33%، قام المصادقون بشكل فعال "بتجميد" هذه العناوين.
UTC时间18:04:07 – إرسال رسالة التفاوض على السلسلة إلى المهاجم.
بتوقيت UTC 18:15:28 - تم إصلاح وترقية عقد الثغرة (لم يتم إعادة التشغيل بعد).
تحليل الهجوم
استغل المهاجمون ثغرة في مكتبة inter\_mate المفتوحة المصدر في عقد CLMM، وتتم عملية الهجوم على النحو التالي:
أ. يقوم المهاجم بإطلاق عملية تبادل فوري (flash_swap) لخفض سعر الصندوق مؤقتًا.
ب. فتح الصفقة في نطاق سعر مرتفع.
ج. استغلال فحص التجاوز الخاطئ في منطق إضافة سيولة (add\_liquidity) لضخ قيمة سيولة مبالغ فيها بقليل من الرموز.
d. من خلال إزالة السيولة على مراحل (remove_liquidity) سحب احتياطات الرموز.
e. باستخدام الحسابات غير الموثقة (مثل overflowing\_sub و get\_liquidity\_from\_a)، من خلال قيم السيولة المصممة بعناية لتكرار العملية المذكورة أعلاه.
تعود الثغرة إلى سوء فهم لسمات عملية الإزاحة اليسارية في مكتبة integer-mate مفتوحة المصدر، حيث يعتمد عقد CLMM على هذه المكتبة. في طريقة checked\_shlw، كان يجب أن تكون الفحص الفعلي هو "هل قيمة الإدخال ≤ 2^192"، ولكن في النسخة التي تعرضت للهجوم تم فحصها بشكل خاطئ كـ "≤ 2^256"، مما أدى إلى فشل فحص الفيض. هذه هي السبب الحقيقي الوحيد للهجمات الأخيرة.
استغل المهاجمون الثغرات المذكورة أعلاه، من خلال التلاعب بمقياس أسعار تجمعات الأموال (tick) وآلية السيولة، وسحبوا كميات كبيرة من الأصول بنجاح خلال عدة دورات من الهجمات.
من الضروري الإيضاح أن هناك أشخاصًا على وسائل التواصل الاجتماعي قد فهموا خطأً أن الهجوم ناتج عن "MAX_U64 خطأ في فحص الرياضيات" الذي تم الإشارة إليه في تقرير التدقيق السابق، مما أدى إلى تضليل العديد من المستخدمين غير المدركين للحقائق. نعلن هنا: أن هذه المشكلة ليست مرتبطة بهذا الهجوم. هذه المشكلة نفسها هي مجرد اقتراح لتحسين مستوى المعلومات، وقد تؤدي فقط في حالات شديدة إلى تراجع المعاملات، وقد تم إصلاحها في الإصدارات السابقة.
لحماية المصلحة المشتركة للنظام البيئي بأكمله، وبموافقة أغلبية من المدققين في Sui، تم تجميد عنواني محفظة Sui التابعين للمهاجم بشكل طارئ. تحتوي المحافظ المجمدة على الجزء الرئيسي من الأموال المسروقة:
المهاجم محفظة Sui 1 (مُجمدة): 0xcd8962dad278d8b50fa0f9eb0186bfa4cbdecc6d59377214c88d0286a0ac9562
المهاجم محفظة Sui 2 (مجمدة): 0xe28b50cef1d633ea43d3296a3f6b67ff0312a5f1a99f0af753c85b8b5de8ff06
تم تبادل جميع الأموال المسروقة المتبقية من قبل المهاجمين وتم جسرها إلى ETH، وهي موجودة حاليًا في محفظتين إيثيريوم التاليتين:
نحن نتعاون مع فريق أمان Sui وعدد من شركاء التدقيق لإعادة مراجعة العقود المحدثة وإجراء تدقيق مشترك متعدد الأطراف. لن يتم استعادة تنشيط تجمع CLMM والخدمات ذات الصلة إلا بعد التحقق الشامل.
نخطط لبدء تدقيق إضافي على الفور، وإصدار تقارير تدقيق دورية بناءً على TVL (القيمة الإجمالية المقفلة). في الوقت نفسه، سنستمر في تعزيز المراقبة على السلسلة، وتحسين تخصيص إدارة المخاطر، وتنفيذ قيود سرعة قابلة للتحكم على تدفق الأصول.
استعادة أصول LP
نحن نتعاون بنشاط مع شركائنا الرئيسيين في النظام البيئي لتصميم خطط استعادة لبرك السيولة المتأثرة وLPs، ونسعى جاهدين لاستعادة وظيفة سحب السيولة لجميع الخدمات في أقرب وقت ممكن.
لتحقيق الهدف النهائي المتمثل في استرجاع كامل خسائر المستخدمين، نناشد جميع مدققي Sui بدعم التصويت على السلسلة الذي بدأناه مؤخرًا. سيمكن هذا التصويت المستخدمين من استعادة معظم أصولهم بسرعة. بدعمك، سنعمل على تسريع تعويض خسائر المستخدمين وإعادة بناء ثقة المجتمع.
القانون والأعمال التفاوضية
بينما تتقدم الإجراءات القانونية والتنفيذية، نقدم أيضًا فرصة القبعات البيضاء للمهاجمين. سيتم قريبًا إصدار إشعار نهائي للمهاجمين، وسيتم الكشف عن جميع التطورات بشفافية أمام المجتمع.
الخاتمة
نحن نقدر بصدق استجابة المستخدمين ومؤسسة Sui والشركاء البيئيين السريعة والدعم الكبير، مما مكننا من تجميد أكثر من 160 مليون دولار بسرعة، ونقل المعلومات الأساسية إلى الأطراف المتأثرة. في الوقت نفسه، نحن ندرك تمامًا أن الاستعادة الشاملة لا تزال تحتاج إلى وقت، ونحن نتخذ بنشاط تدابير لتسريع العملية.
منذ تأسيسها، كانت Cetus واحدة من أكثر فرق DeFi استثمارًا في تدقيق العقود الذكية وحماية الأنظمة على سلسلة Sui. ومع ذلك، فإن الواقع لم يكن كما هو متوقع: فقد مرت العقود الأساسية والمكتبات المفتوحة المصدر المعتمدة بعدة جولات من التدقيق، وقد تم استخدامها بنجاح على نطاق واسع من قبل المطورين في النظام البيئي، مما جعلنا نعتقد أنها آمنة بما فيه الكفاية. بعد التفكير في الأمر، لم نتمكن من الحفاظ على اليقظة الكافية. هذه التجربة المؤلمة علمتنا أنه يجب علينا أن نفعل المزيد.
في المستقبل، سنعزز نظام الأمان وإدارة المخاطر من خلال التدابير التالية:
استخدام أدوات مثل Blockaid لتنفيذ المراقبة في الوقت الحقيقي، والكشف والاستجابة للتهديدات والثغرات في الوقت المناسب.
تحسين تخصيص إدارة المخاطر، وفرض قيود على سرعة تدفق الأصول بشكل يمكن التحكم فيه.
زيادة تغطية اختبار شفرة المصدر للعقود الذكية
مؤشرات تغطية الشفرة العامة
إجراء تدقيق قبل الإطلاق الرسمي، بعد تغييرات كود كبيرة وعند الوصول إلى معلم TVL حاسم
ترقية برنامج مكافآت الثغرات البيضاء، مكافآت كبيرة للتقارير الثغرات القيمة
تم تنفيذ العديد من التدابير المذكورة أعلاه، وسنواصل تعميقها.
بالإضافة إلى ذلك ، ندرك أن حماية بروتوكولات DeFi لا يمكن أن تعتمد فقط على جهود الفرق والمدققين ، ولكنها تتطلب قوة النظام البيئي بأكمله - من المطورين إلى المساهمين النشطين في القبعة البيضاء - للمراقبة والدفاع والتحسين. نريد أن نجمع كل القوى المتاحة لبناء بنية تحتية مستدامة ومرنة للنظام البيئي بأكمله ستصمد أمام اختبار الزمن.
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
أصدرت Cetus تقريرًا عن حادثة سرقة: الكشف عن الجدول الزمني وتفاصيل الهجوم
المصدر: Cetus؛ الترجمة: AIMan@金色财经
في 22 مايو 2025، تعرضت Cetus لهجوم معقد على العقود الذكية في بركة CLMM. لقد اتخذنا إجراءات فورية للتخفيف من الأثر، ويهدف هذا التقرير إلى الكشف بشفافية عن الجدول الزمني للحدث، وتحليل الأسباب، وحالة الأموال، والخطط اللاحقة، ودفع الأمور اللاحقة بشكل مشترك.
خط الزمن للأحداث
UTC الوقت 10:30:50 - الهجوم بدأ من خلال معاملات غير طبيعية.
UTC الوقت 10:40:00 - نظام المراقبة اكتشف سلوك غير طبيعي في حوض الأموال.
في الساعة 10:53:00 بتوقيت UTC - قام فريق Cetus بتحديد مصدر الهجوم وأصدر تحذيرًا لأعضاء نظام Sui البيئي.
UTC الوقت 10:57:47 – تم تعطيل تجمع CLMM الأساسي لمنع اتساع الخسائر.
الوقت بتوقيت UTC 11:20:00 - تم تعطيل جميع العقود الذكية ذات الصلة على مستوى العالم.
بتوقيت UTC 12:50:00 - بدأ مصادقو Sui بالتصويت على رفض معالجة المعاملات الموقعة من قبل عنوان المهاجم، وعندما تجاوزت نسبة التصويت 33%، قام المصادقون بشكل فعال "بتجميد" هذه العناوين.
UTC时间18:04:07 – إرسال رسالة التفاوض على السلسلة إلى المهاجم.
بتوقيت UTC 18:15:28 - تم إصلاح وترقية عقد الثغرة (لم يتم إعادة التشغيل بعد).
تحليل الهجوم
استغل المهاجمون ثغرة في مكتبة
inter\_mateالمفتوحة المصدر في عقد CLMM، وتتم عملية الهجوم على النحو التالي:أ. يقوم المهاجم بإطلاق عملية تبادل فوري (flash_swap) لخفض سعر الصندوق مؤقتًا.
ب. فتح الصفقة في نطاق سعر مرتفع.
ج. استغلال فحص التجاوز الخاطئ في منطق
إضافة سيولة (add\_liquidity)لضخ قيمة سيولة مبالغ فيها بقليل من الرموز.d. من خلال إزالة السيولة على مراحل (remove_liquidity) سحب احتياطات الرموز.
e. باستخدام الحسابات غير الموثقة (مثل
overflowing\_subوget\_liquidity\_from\_a)، من خلال قيم السيولة المصممة بعناية لتكرار العملية المذكورة أعلاه.! QMMrVAgV6mADob3pTQWzYV2CYasT2LS81Xa5Skj4.png
لم يتم اكتشاف هذه الثغرة في تدقيق الأمان السابق.
السبب الجذري
تعود الثغرة إلى سوء فهم لسمات عملية الإزاحة اليسارية في مكتبة
integer-mateمفتوحة المصدر، حيث يعتمد عقد CLMM على هذه المكتبة. في طريقةchecked\_shlw، كان يجب أن تكون الفحص الفعلي هو "هل قيمة الإدخال ≤ 2^192"، ولكن في النسخة التي تعرضت للهجوم تم فحصها بشكل خاطئ كـ "≤ 2^256"، مما أدى إلى فشل فحص الفيض. هذه هي السبب الحقيقي الوحيد للهجمات الأخيرة.استغل المهاجمون الثغرات المذكورة أعلاه، من خلال التلاعب بمقياس أسعار تجمعات الأموال (tick) وآلية السيولة، وسحبوا كميات كبيرة من الأصول بنجاح خلال عدة دورات من الهجمات.
من الضروري الإيضاح أن هناك أشخاصًا على وسائل التواصل الاجتماعي قد فهموا خطأً أن الهجوم ناتج عن "MAX_U64 خطأ في فحص الرياضيات" الذي تم الإشارة إليه في تقرير التدقيق السابق، مما أدى إلى تضليل العديد من المستخدمين غير المدركين للحقائق. نعلن هنا: أن هذه المشكلة ليست مرتبطة بهذا الهجوم. هذه المشكلة نفسها هي مجرد اقتراح لتحسين مستوى المعلومات، وقد تؤدي فقط في حالات شديدة إلى تراجع المعاملات، وقد تم إصلاحها في الإصدارات السابقة.
عنوان المهاجم (على سلسلة Sui):
0xe28b50cef1d633ea43d3296a3f6b67ff0312a5f1a99f0af753c85b8b5de8ff06
حالة الأموال
لحماية المصلحة المشتركة للنظام البيئي بأكمله، وبموافقة أغلبية من المدققين في Sui، تم تجميد عنواني محفظة Sui التابعين للمهاجم بشكل طارئ. تحتوي المحافظ المجمدة على الجزء الرئيسي من الأموال المسروقة:
المهاجم محفظة Sui 1 (مُجمدة): 0xcd8962dad278d8b50fa0f9eb0186bfa4cbdecc6d59377214c88d0286a0ac9562
المهاجم محفظة Sui 2 (مجمدة): 0xe28b50cef1d633ea43d3296a3f6b67ff0312a5f1a99f0af753c85b8b5de8ff06
تم تبادل جميع الأموال المسروقة المتبقية من قبل المهاجمين وتم جسرها إلى ETH، وهي موجودة حاليًا في محفظتين إيثيريوم التاليتين:
محفظة إيثريوم للمهاجم 1: 0x0251536bfcf144b88e1afa8fe60184ffdb4caf16
محفظة المهاجم الإيثيريوم 2: 0x89012a55cd6b88e407c9d4ae9b3425f55924919b
الخطط المستقبلية
مراجعة العقود وتعزيز الأمان
نحن نتعاون مع فريق أمان Sui وعدد من شركاء التدقيق لإعادة مراجعة العقود المحدثة وإجراء تدقيق مشترك متعدد الأطراف. لن يتم استعادة تنشيط تجمع CLMM والخدمات ذات الصلة إلا بعد التحقق الشامل.
نخطط لبدء تدقيق إضافي على الفور، وإصدار تقارير تدقيق دورية بناءً على TVL (القيمة الإجمالية المقفلة). في الوقت نفسه، سنستمر في تعزيز المراقبة على السلسلة، وتحسين تخصيص إدارة المخاطر، وتنفيذ قيود سرعة قابلة للتحكم على تدفق الأصول.
استعادة أصول LP
نحن نتعاون بنشاط مع شركائنا الرئيسيين في النظام البيئي لتصميم خطط استعادة لبرك السيولة المتأثرة وLPs، ونسعى جاهدين لاستعادة وظيفة سحب السيولة لجميع الخدمات في أقرب وقت ممكن.
لتحقيق الهدف النهائي المتمثل في استرجاع كامل خسائر المستخدمين، نناشد جميع مدققي Sui بدعم التصويت على السلسلة الذي بدأناه مؤخرًا. سيمكن هذا التصويت المستخدمين من استعادة معظم أصولهم بسرعة. بدعمك، سنعمل على تسريع تعويض خسائر المستخدمين وإعادة بناء ثقة المجتمع.
القانون والأعمال التفاوضية
بينما تتقدم الإجراءات القانونية والتنفيذية، نقدم أيضًا فرصة القبعات البيضاء للمهاجمين. سيتم قريبًا إصدار إشعار نهائي للمهاجمين، وسيتم الكشف عن جميع التطورات بشفافية أمام المجتمع.
الخاتمة
نحن نقدر بصدق استجابة المستخدمين ومؤسسة Sui والشركاء البيئيين السريعة والدعم الكبير، مما مكننا من تجميد أكثر من 160 مليون دولار بسرعة، ونقل المعلومات الأساسية إلى الأطراف المتأثرة. في الوقت نفسه، نحن ندرك تمامًا أن الاستعادة الشاملة لا تزال تحتاج إلى وقت، ونحن نتخذ بنشاط تدابير لتسريع العملية.
منذ تأسيسها، كانت Cetus واحدة من أكثر فرق DeFi استثمارًا في تدقيق العقود الذكية وحماية الأنظمة على سلسلة Sui. ومع ذلك، فإن الواقع لم يكن كما هو متوقع: فقد مرت العقود الأساسية والمكتبات المفتوحة المصدر المعتمدة بعدة جولات من التدقيق، وقد تم استخدامها بنجاح على نطاق واسع من قبل المطورين في النظام البيئي، مما جعلنا نعتقد أنها آمنة بما فيه الكفاية. بعد التفكير في الأمر، لم نتمكن من الحفاظ على اليقظة الكافية. هذه التجربة المؤلمة علمتنا أنه يجب علينا أن نفعل المزيد.
في المستقبل، سنعزز نظام الأمان وإدارة المخاطر من خلال التدابير التالية:
استخدام أدوات مثل Blockaid لتنفيذ المراقبة في الوقت الحقيقي، والكشف والاستجابة للتهديدات والثغرات في الوقت المناسب.
تحسين تخصيص إدارة المخاطر، وفرض قيود على سرعة تدفق الأصول بشكل يمكن التحكم فيه.
زيادة تغطية اختبار شفرة المصدر للعقود الذكية
مؤشرات تغطية الشفرة العامة
إجراء تدقيق قبل الإطلاق الرسمي، بعد تغييرات كود كبيرة وعند الوصول إلى معلم TVL حاسم
ترقية برنامج مكافآت الثغرات البيضاء، مكافآت كبيرة للتقارير الثغرات القيمة
تم تنفيذ العديد من التدابير المذكورة أعلاه، وسنواصل تعميقها.
بالإضافة إلى ذلك ، ندرك أن حماية بروتوكولات DeFi لا يمكن أن تعتمد فقط على جهود الفرق والمدققين ، ولكنها تتطلب قوة النظام البيئي بأكمله - من المطورين إلى المساهمين النشطين في القبعة البيضاء - للمراقبة والدفاع والتحسين. نريد أن نجمع كل القوى المتاحة لبناء بنية تحتية مستدامة ومرنة للنظام البيئي بأكمله ستصمد أمام اختبار الزمن.