Le protocole Cetus a confirmé qu'un attaquant a exploité une faille dans une bibliothèque open-source utilisée par son contrat intelligent CLMM, entraînant la perte de 223 millions de dollars.
À l'avenir, Cetus prévoit de renforcer la sécurité grâce à des tests rigoureux, des audits élargis et un programme de primes aux bugs renforcé.
Après avoir subi une attaque de 223 millions de dollars la semaine dernière, l'échange décentralisé basé sur Sui, Cetus Protocol, a confirmé qu'une faille dans une bibliothèque open-source utilisée par son contrat intelligent était à l'origine de l'exploitation des fonds des utilisateurs.
Plus précisément, l'attaque a ciblé les pools de Concentrated Liquidity Market Maker (CLMM) de Cetus en utilisant le contrat intelligent. Elle a impliqué la manipulation des prix des pools à l'aide d'un flash swap, exploitant une erreur de vérification de débordement pour injecter une valeur de liquidité artificiellement grande avec une quantité minimale de jetons, puis retirer à plusieurs reprises de la liquidité pour aspirer les actifs, selon un rapport complet sur l'incident.
La vulnérabilité provenait d'une sauvegarde de débordement d'entier mal appliquée dans la bibliothèque inter_mate, en particulier dans la méthode checked_shlw, qui validait incorrectement les entrées par rapport à une limite de 256 bits au lieu d'une limite de 192 bits, permettant des injections de liquidité non vérifiées, a expliqué l'équipe.
"Il est nécessaire de préciser que récemment, certaines personnes sur les réseaux sociaux ont à tort cru que l'exploit était causé par une erreur arithmétique de vérification de MAX_U64 signalée dans le précédent rapport d'audit, ce qui a induit en erreur de nombreuses personnes qui ne connaissaient pas le fait," a noté Cetus. "Nous déclarons par la présente que ce problème n'a rien à voir avec l'exploit récent."
Conformément à la chronologie des événements de Cetus, ses principaux pools CLMM ont été désactivés pour empêcher de nouvelles pertes dans les 30 minutes suivant le début de l'exploitation. Environ 223 millions de dollars avaient déjà été aspirés à ce moment-là, entraînant la chute de divers tokens basés sur Sui au milieu du chaos. Une heure et 20 minutes après l'attaque, les validateurs de Sui ont commencé à voter pour rejeter les transactions des adresses de l'attaquant, et une fois que le vote a dépassé 33 % du total des enjeux, les adresses qui avaient drainé environ 162 millions de dollars ont été "gelées" efficacement, a déclaré Cetus.
Cela a bloqué les adresses de l'attaquant pour effectuer des transactions avec ces fonds sur Sui, déclenchant des critiques de la part de ceux qui ont soutenu que la censure exposait des risques de centralisation. Cependant, environ 60 millions de dollars avaient déjà été convertis en USDC, transférés à Ethereum, et échangés contre de l'ETH, ont précédemment noté des analystes onchain.
Le contrat vulnérable a ensuite été patché et mis à niveau, bien qu'il n'ait pas encore été entièrement redémarré.
Négociations et primes
Dans un message à l'attaquant, Cetus et la société d'analyse de données Inca Digital ont ensuite demandé le retour de 20 920 ETH et des fonds gelés sur les portefeuilles Sui de l'exploiteur, indiquant qu'aucune autre action légale ou publique ne serait entreprise si le règlement était accepté.
Cetus a déclaré qu'elle n'avait reçu aucune communication de la part du pirate, et l'équipe a ensuite annoncé une prime de 5 millions de dollars pour des informations pertinentes ayant conduit à la résolution du problème.
Le succès de l'identification et de l'arrestation du hacker, payable à la discrétion de la Fondation Sui.En même temps, Cetus a également demandé à la communauté Sui de soutenir une mise à jour du protocole pour récupérer les 162 millions de dollars de fonds gelés et les restituer à leurs propriétaires légitimes. "Personne ne peut prendre cette décision unilatéralement. Nous proposons un vote sur la chaîne impliquant les principaux participants du réseau, y compris les validateurs et les détenteurs de SUI, pour décider si cette mise à jour est dans le meilleur intérêt de la communauté Sui", a-t-il déclaré. "Nous voulons récupérer et restituer les fonds volés, mais nous respecterons la décision de la communauté."
Quelle est la suite?
Cetus a indiqué qu'il avait fortement investi dans des audits de contrats intelligents et des dispositifs de sécurité depuis son lancement, estimant que plusieurs revues et une adoption généralisée par les développeurs offraient une protection suffisante. Cependant, l'équipe a reconnu que l'exploit récent montrait clairement que ce sentiment de sécurité était mal placé et qu'il "fallait en faire plus".
Pour renforcer ses défenses, Cetus met en place un monitoring en temps réel renforcé, des configurations de gestion des risques plus strictes, une couverture de test plus approfondie et des audits plus fréquents basés sur des jalons, tout en s'engageant à une plus grande transparence grâce à la publication publique des métriques de couverture de code.
À court terme, Cetus travaille avec l'équipe de sécurité Sui et les partenaires d'audit pour revalider tous les contrats mis à jour avant de réactiver ses pools CLMM. Cetus collabore également avec les partenaires de l'écosystème sur un plan de reprise pour restaurer l'accès à la liquidité pour les LPs impactés, y compris le vote sur la chaîne pour aider à restituer les actifs des utilisateurs.
Entre-temps, des procédures judiciaires sont en cours, bien que Cetus ait également étendu son offre de "chapeau blanc" à l'attaquant dans l'espoir de récupérer des fonds sans causer davantage de dommages. Un dernier avertissement sera bientôt envoyé au hacker, a-t-il déclaré.