Cetus, uma das principais exchanges descentralizadas na rede Sui, publicou um relatório detalhado pós-morte após um exploit de $223 milhões que visou suas pools de formadores de mercado de liquidez concentrada em 22 de maio.
Em seu relatório de incidentes de 26 de maio, a Cetus explicou que o ataque foi causado por uma vulnerabilidade em uma biblioteca de código aberto usada em seus contratos inteligentes. O hacker explorou uma falha no sistema de gerenciamento de liquidez da plataforma, que controla como os usuários adicionam e removem tokens das pools de negociação.
O atacante usou um recurso chamado flash swap, uma espécie de empréstimo instantâneo que permite aos usuários pegar emprestado tokens desde que os devolvam na mesma transação. Flash swaps foram usados para distorcer os preços da pool, adicionar liquidez falsa usando apenas um pequeno número de tokens e, em seguida, retirar grandes quantidades de tokens reais ao longo de várias rodadas, drenando várias pools no processo.
A Cetus explicou que a raiz do problema foi um erro em uma biblioteca de código de terceiros, onde o sistema verificava incorretamente potenciais overflows, o que significa que não limitou adequadamente números extremamente grandes.
“Esse problema não tem nada a ver com o bug de aritmética MAX_U64 sinalizado em auditorias anteriores,” esclareceu a Cetus, abordando a confusão da comunidade. “A causa raiz foi uma verificação de overflow de deslocamento à esquerda com falha que validava incorretamente valores além dos limites seguros.”
Você também pode gostar: Protocolo Haedal baseado em Sui suspende recurso haeVault após o exploit de $223 milhões da Cetus
A equipe da Cetus detectou atividade estranha dentro de 10 minutos após o hack e rapidamente pausou as negociações. Eles também contataram os validadores da Sui (SUI) que votaram para congelar as carteiras do atacante. Essa ação impediu que cerca de $162 milhões de fundos roubados fossem movidos da rede. No entanto, o resto já havia sido transferido para Ethereum (ETH).
A Cetus disse que agora reauditará seus contratos, melhorará seus sistemas de monitoramento e implementará um plano para ajudar os usuários a recuperar fundos perdidos. Também está trabalhando com parceiros do ecossistema em um plano de recuperação de liquidez e pediu aos validadores da Sui que apoiassem votos on-chain destinados a ajudar os usuários a recuperar fundos.
O incidente causou uma queda no valor total bloqueado na rede Sui, de $2,13 bilhões para cerca de $1,92 bilhões. O CETUS, o token da plataforma, caiu 40%, e a perda de liquidez fez com que o USD Coin (USDC) perdesse brevemente sua paridade com o dólar.
Alguns membros da comunidade elogiaram a rápida resposta dos validadores da Sui, enquanto outros levantaram preocupações de que a capacidade de congelar carteiras mostra uma falta de descentralização. A Cetus também entrou em contato com o hacker com uma recompensa de $6 milhões de 'chapéu branco', convidando-o a devolver os fundos, ficar com a recompensa e evitar ações legais.
Leia mais: Cetus oferece recompensa de $5 milhões por informações sobre o hacker
