Протокол Cetus підтвердив, що атакуючий використав уразливість у відкритій бібліотеці, яку використовував його CLMM розумний контракт, що призвело до витоку 223 мільйонів доларів.
На майбутнє Cetus планує зміцнити безпеку шляхом ретельних тестів, розширених аудитів та посилити програму по виявленню помилок.
Після того, як тиждень тому децентралізована біржа Cetus Protocol з Суї підтвердила атаку на суму 223 мільйонів доларів, було виявлено, що уразливість у відкритій бібліотеці, якою користується її розумний контракт, була причиною викиду коштів користувачів.
Зокрема, атака спрямовувалася на пули CLMM використовуючи розумний контракт Cetus. Вона включала маніпулювання цінами на пулах за допомогою швидкого обміну, використання помилки перевірки переповнення для впровадження штучно великої вартості ліквідності з мінімальною кількістю токенів, а потім повторне вилучення ліквідності для відсмоктування активів, як зазначено у повному звіті про подію.
Уразливість походила від неправильно застосованої захисної перевірки переповнення цілочислового значення в бібліотеці inter_mate, зокрема в методі checked_shlw, який неправильно перевіряв вхідні дані на обмеження в 256 біт замість 192 біт, що дозволило не перевіряти впровадження ліквідності, пояснила команда.
"Важливо зазначити, що останнім часом деякі люди в соціальних мережах неправильно вважали, що експлойт був викликаний арифметичною помилкою перевірки MAX_U64, зазначеною в попередньому аудиті, що омануло багатьох людей, які не знали фактів," - зауважено в Cetus. "Ми тутбіжно заявляємо, що ця проблема не має нічого спільного з останнім експлойтом."
Згідно з хронологією подій Cetus, їхні основні пули CLMM були вимкнені, щоб запобігти подальшим втратам протягом 30 хвилин з моменту початку експлойту. На той момент було вже відсмокчено приблизно 223 мільйонів доларів, що призвело до падіння вартості різних токенів на основі Sui в середині хаосу. Упродовж години і 20 хвилин після атаки Sui валідатори почали голосувати за відхилення транзакцій від адрес атакуючого, і коли голоси перевищили 33% від загальної ставки, адреси, з яких було відсмокчено приблизно 162 мільйони доларів, ефективно були "заморожені", - повідомив Cetus.
Це заблокувало адреси атакуючого для здійснення операцій з цими коштами на Sui, що викликало критику з боку критиків, які вважали, що цензура викрила ризики централізації. Однак, як вже зазначували аналітики, приблизно 60 мільйонів доларів вже було конвертовано в USDC, переброшено на Ethereum та обмінено на ETH, - попередні записи.
Уразливий контракт потім був виправлений і оновлений, але його ще не повністю перезапущено.
Переговори та винагороди
В повідомленні атакуючому Cetus та компанія з аналізу даних Inca Digital потім запросили повернути 20 920 ETH та кошти, заморожені на гаманцях атакуючого, стверджуючи, що якщо угода буде прийнята, подальших юридичних або публічних заходів не буде прийнято.
Cetus зазначив, що не отримав жодного повідомлення від хакера, і команда подальше оголосила винагороду у розмірі 5 мільйонів доларів за відповідну інформацію, яка призвела до того.Успішне виявлення та арешт хакера, що сплачується за рішенням Фонду Sui.
Тим часом Cetus також звернувся до спільноти Sui з проханням підтримати оновлення протоколу для відновлення $162 мільйонів заморожених коштів та повернення їх законним власникам. "Ніхто не може ухвалити таке рішення у односторонньому порядку. Ми пропонуємо виконати голосування в ланцюжку, що залучить основних учасників мережі, включаючи валідаторів та учасників SUI, для прийняття рішення про те, чи є таке оновлення в найкращих інтересах спільноти Sui," - зазначено. "Ми хочемо відновити та повернути вкрадені кошти, проте ми поважатимемо будь-яке рішення спільноти."
Що далі?
Cetus заявив, що значно інвестував у перевірку розумних контрактів та системних заходів безпеки з моменту свого запуску, вважаючи, що кілька перевірок та широке поширення серед розробників забезпечують достатню захист. Однак команда визнала, що нещодавній експлойт показав, що цей відчуття безпеки було недоречним і вони "повинні зробити більше".
Для зміцнення своїх оборонних можливостей Cetus впроваджує покращений моніторинг в режимі реального часу, строженькі конфігурації управління ризиками, широке покриття тестів та більш часті, відповідно до відрізняючих, аудити, поряд з обіцянкою більшої прозорості через публічну звітність метрик кодового покриття.
У найближчій перспективі Cetus працює з командою безпеки Sui та партнерами з перевірки, щоб перевалідувати всі оновлені контракти до поновлення пулів CLMM. Крім того, Cetus співпрацює з партнерами екосистеми над планом відновлення для відновлення доступу до ліквідності для порушених LP, включаючи голосування в ланцюжку для повернення активів користувачів.
Тим часом, правові процедури вже розпочалися, проте Cetus також розширило свою пропозицію "білого хакера" хакеру з надією відновити кошти без подальших збитків. Згодом буде надіслано остаточне повідомлення хакеру, зазначено.