TechFlow 소식, 5월 24일, 만무 공식 발표에서 Cetus 해킹 사건 분석을 통해 공격자가 정교하게 매개변수를 구성하여 오버플로우를 발생시키면서도 탐지 절차를 우회함으로써 극소량의 토큰으로 막대한 유동성 자산을 교환했다고 지적했다.
만무는 이번 공격이 매우 정교한 수학적 공격이라고 밝히며, 공격자가 Cetus 스마트 계약의 checked_shlw 함수에 존재하는 수학적 오버플로우 취약점을 이용해 정교한 매개변수 구성으로 오버플로우 검사를 우회했으며, 단 1개의 토큰만으로도 거액의 유동성 자산을 교환했다고 설명했다. 공격자는 SUI, vSUI, USDC 등 다양한 자산을 포함해 약 2.3억 달러의 이득을 얻었다.
공격 발생 후 Cetus는 스마트 계약을 일시 중단하고 패치를 배포하여 checked_shlw 함수 내 잘못된 마스크와 조건 판정을 수정했다. SUI 재단과 생태계 참여 기관들의 협력 하에 현재 SUI 체인 상에서 도난된 1.62억 달러의 자금이 성공적으로 동결되었다. 공격자는 일부 자금을 크로스체인 브릿지를 통해 EVM 주소로 이미 이체한 상태다.




