Sui DEX Cetus dice que una falla que se pasó por alto en la biblioteca de código abierto utilizada por el contrato inteligente provocó una explotación de $223 millones

El Protocolo Cetus confirmó que un atacante explotó una falla en una biblioteca de código abierto utilizada por su contrato inteligente CLMM, lo que resultó en la pérdida de $223 millones.

En el futuro, Cetus planea reforzar la seguridad a través de pruebas rigurosas, auditorías ampliadas y un programa de recompensas por errores fortalecido.

Después de sufrir un ataque de $223 millones la semana pasada, el exchange descentralizado con sede en Sui, Cetus Protocol, confirmó que una falla en una biblioteca de código abierto utilizada por su contrato inteligente fue la causa de la explotación que drenó los fondos de los usuarios.

Más específicamente, el ataque apuntó a los pools del Concentrated Liquidity Market Maker (CLMM) de Cetus utilizando el contrato inteligente. Implicó la manipulación de los precios de los pools utilizando un flash swap, explotando un error de verificación de desbordamiento para inyectar un valor de liquidez artificialmente grande con una cantidad mínima de tokens, y luego retirando repetidamente la liquidez para drenar activos, según un informe completo del incidente.

La vulnerabilidad se originó a partir de una protección contra desbordamiento de enteros mal aplicada en la biblioteca inter_mate, particularmente en el método checked_shlw, que validó incorrectamente las entradas contra un límite de 256 bits en lugar de un límite de 192 bits, permitiendo inyecciones de liquidez no verificadas, explicó el equipo.

"Es necesario aclarar que recientemente algunas personas en las redes sociales creyeron erróneamente que la explotación fue causada por un error aritmético de comprobación MAX_U64 señalado en el informe de auditoría anterior, lo que confundió a muchas personas que no conocían el hecho", señaló Cetus. "Declaramos por la presente que este problema no tiene nada que ver con la explotación reciente."

Según la cronología de eventos de Cetus, sus pools centrales de CLMM fueron deshabilitados para evitar más pérdidas dentro de los 30 minutos posteriores al inicio de la explotación. Aproximadamente $223 millones ya habían sido drenados en ese momento, causando que varios tokens basados en Sui cayeran de precio en medio del caos. Dentro de una hora y 20 minutos del ataque, los validadores de Sui comenzaron a votar para rechazar transacciones de las direcciones del atacante, y una vez que el voto superó el 33% de la participación total, las direcciones que habían drenado alrededor de $162 millones estaba "congeladas" efectivamente, dijo Cetus.

Esto bloqueó a las direcciones del atacante para realizar transacciones con esos fondos en Sui, desencadenando críticas de personas que argumentaban que la censura exponía riesgos de centralización. Sin embargo, aproximadamente $60 millones ya se habían convertido en USDC, puenteado a Ethereum y cambiado por ETH, como señalaron analistas onchain anteriormente.

Más tarde, el contrato vulnerable fue parcheado y actualizado, aunque aún no se ha reiniciado por completo.

Negociaciones y recompensas

En un mensaje al atacante, Cetus y la empresa de análisis de datos Inca Digital solicitaron la devolución de 20,920 ETH y los fondos congelados en las billeteras de Sui del explotador, declarando que no se tomarían más acciones legales o públicas si se aceptaba el acuerdo.

Cetus dijo que no recibió comunicación alguna del hacker, y el equipo anunció posteriormente una recompensa de $5 millones por información relevante que resultara en la resolución.

La identificación exitosa y el arresto del hacker serán pagados a discreción de la Fundación Sui.

Al mismo tiempo, Cetus también pidió a la comunidad Sui que apoye una actualización del protocolo para recuperar los $162 millones de fondos congelados y devolverlos a sus legítimos propietarios. "Nadie puede tomar esta decisión unilateralmente. Proponemos una votación en línea que involucre a los principales participantes de la red, incluidos los validadores y los poseedores de SUI, para decidir si esta actualización es en el mejor interés de la comunidad Sui", dijo. "Queremos recuperar y devolver los fondos robados, pero respetaremos lo que decida la comunidad".

¿Qué sigue?

Cetus dijo que había invertido fuertemente en auditorías de contratos inteligentes y salvaguardas del sistema desde su lanzamiento, creyendo que múltiples revisiones y una amplia adopción por parte de los desarrolladores ofrecían una protección suficiente. Sin embargo, el equipo reconoció que la reciente explotación dejó en claro que este sentido de seguridad estaba equivocado y que "debe hacer más".

Para fortalecer sus defensas, Cetus está implementando monitoreo en tiempo real mejorado, configuraciones de gestión de riesgos más estrictas, una cobertura de prueba más profunda y auditorías más frecuentes basadas en hitos, además de comprometerse a una mayor transparencia mediante la divulgación pública de métricas de cobertura de código.

En el corto plazo, Cetus está trabajando con el equipo de seguridad de Sui y socios de auditoría para volver a validar todos los contratos actualizados antes de reactivar sus pools CLMM. Cetus también está colaborando con socios del ecosistema en un plan de recuperación para restaurar el acceso a liquidez para los LP afectados, incluida la votación en línea para ayudar a devolver los activos de los usuarios.

Mientras tanto, los procedimientos legales están en marcha, aunque Cetus también ha extendido su oferta de sombrero blanco al atacante con la esperanza de recuperar fondos sin causar más daño. Pronto se enviará un aviso final al hacker, dijo.