Протокол Cetus подтвердил, что злоумышленник воспользовался уязвимостью в библиотеке с открытым исходным кодом, используемой его умным контрактом CLMM, что привело к выводу $223 миллионов.
Двигаясь вперёд, Cetus планирует укрепить безопасность путем тщательного тестирования, расширенных аудиторских проверок и укрепления программы по вознаграждению за нахождение ошибок.
После кражи на $223 миллиона на прошлой неделе, децентрализованная биржа Cetus Protocol, базирующаяся на Sui, подтвердила, что уязвимость в библиотеке с открытым исходным кодом, используемой её умным контрактом, лежала в основе эксплуатации, которая вывела деньги пользователей.
Конкретно атака направлялась на концентрированные пулы ликвидности рынка маркет-мейкера Cetus (CLMM) с использованием умного контракта. Это включало в себя метод манипулирования ценами пулов с помощью мгновенного свопа, использование ошибки проверки переполнения для введения искусственно большого значения ликвидности с минимальным количеством токенов, а затем многократное удаление ликвидности для откачивания активов, согласно полному докладу о происшествии.
Уязвимость возникла из-за неправильно примененной защиты от переполнения целочисленных значений в библиотеке inter_mate, в частности, в методе checked_shlw, который неправильно проверял входные данные по предельным значениям 256 бит вместо 192 бит, что позволило вводить ликвидность без проверки, пояснила команда.
"Необходимо уточнить, что недавно некоторые люди в социальных сетях неправильно полагали, что эксплуатация была вызвана арифметической ошибкой проверки MAX_U64, указанной в предыдущем отчете об аудите, что ввело в заблуждение многих, кто не знал фактов," — отметил Cetus. "Мы здесь и сейчас заявляем, что эта проблема не имеет никакого отношения к недавней эксплуатации."
Согласно хронологии событий Cetus, его основные пулы CLMM были отключены в течение 30 минут после начала эксплуатации, чтобы предотвратить дальнейшие потери. К тому моменту было уже выведено примерно $223 миллиона, вызвав колебания цен на различные токены Sui в хаосе. Через час и 20 минут после атаки валидаторы Sui начали голосовать за отклонение транзакций с адресов злоумышленника, и как только голоса превысили 33% от общего стейка, адреса, из которых было выведено около $162 миллиона, были эффективно "заморожены," сообщил Cetus.
Это заблокировало адреса злоумышленника от обращения с этими средствами на Sui, вызвав волну критики тех, кто считал, что цензура выставляет риски централизации. Однако, примерно $60 миллионов уже были сконвертированы в USDC, переведены на Ethereum и обменены на ETH, предварительно отметили аналитики.
Уязвимый контракт позже был исправлен и обновлен, хотя он еще не был полностью перезапущен.
Переговоры и вознаграждения
В сообщении злоумышленнику Cetus и компания по аналитике данных Inca Digital затем запросили возврат 20 920 ETH и средств, заблокированных на кошельках злоумышленника на Sui, заявив, что в случае принятия предложения не будут предприняты дальнейшие юридические или публичные действия.
Cetus отметил, что не получил никаких коммуникаций от хакера, и команда впоследствии объявила о вознаграждении в $5 миллионов за соответствующую информацию, приведшую к успеху.
Успешная идентификация и арест хакера, выплачиваемая по усмотрению Фонда Sui.
Также Cetus попросил сообщество Sui поддержать обновление протокола для восстановления $162 миллионов замороженных средств и их возврата законным владельцам. "Никто не может принять это решение односторонне. Мы предлагаем провести голосование сети, в котором участвуют основные участники, включая валидаторов и держателей SUI, чтобы определить, будет ли это обновление наилучшим для сообщества Sui", - сказано. "Мы хотим восстановить и вернуть украденные средства, но мы уважим решение сообщества."
Что дальше?
Cetus заявил, что с момента запуска он интенсивно инвестировал в проверку смарт-контрактов и средства безопасности системы, считая, что множественные проверки и широкое принятие разработчиками обеспечивают достаточную защиту. Однако команда признала, что недавнее использование показало, что это чувство безопасности было ошибочным, и что "нужно делать больше".
Для усиления защиты Cetus внедряет улучшенный мониторинг в реальном времени, строже конфигурации управления рисками, более глубокое тестовое покрытие и более частые, ориентированные на вехи, проверки, а также обязуется к большей прозрачности через публичную отчетность о показателях покрытия кода.
В ближайшей перспективе Cetus работает с командой безопасности Sui и аудиторскими партнерами для повторной проверки всех обновленных контрактов перед повторным включением его пулов CLMM. Cetus также сотрудничает с партнерами экосистемы над планом восстановления для восстановления доступа к ликвидности для затронутых LP, включая голосование в цепи для помощи возвращения пользовательских активов.
Тем временем судебные процессы уже идут, хотя Cetus также продлил своё предложение хакеру в белой шляпе с надеждой на возврат средств без дальнейшего ущерба. Скоро хакеру будет отправлено окончательное уведомление, сказано.