O Cetus Protocol confirmou que um atacante explorou uma falha em uma biblioteca de código aberto usada por seu contrato inteligente CLMM, levando a um saque de $223 milhões.
Avançando, a Cetus planeja reforçar a segurança através de testes rigorosos, auditorias expandidas e um programa de recompensas por bugs fortalecido.
Após sofrer um ataque de $223 milhões na semana passada, a exchange descentralizada baseada na Sui, Cetus Protocol, confirmou que uma falha em uma biblioteca de código aberto usada por seu contrato inteligente estava por trás da exploração que drenou os fundos dos usuários.
Mais especificamente, o ataque visou as pools de Market Maker de Liquidez Concentrada (CLMM) da Cetus usando o contrato inteligente. Isso envolveu manipular os preços das pools usando uma troca relâmpago, explorando um erro de verificação de estouro para injetar um valor de liquidez artificialmente grande com uma quantidade mínima de tokens, e depois removendo repetidamente a liquidez para drenar ativos, de acordo com um relatório completo do incidente.
A vulnerabilidade surgiu de uma salvaguarda de estouro de inteiro mal aplicada na biblioteca inter_mate, particularmente no método checked_shlw, que validava incorretamente as entradas contra um limite de 256 bits em vez de um limite de 192 bits, permitindo injeções de liquidez não verificadas, explicou a equipe.
"É necessário esclarecer que recentemente algumas pessoas nas redes sociais acreditaram erroneamente que a exploração foi causada por um erro aritmético de verificação MAX_U64 sinalizado no relatório de auditoria anterior, o que enganou muitas pessoas que não conheciam o fato," observou a Cetus. "Declaramos que esta questão não tem nada a ver com a exploração recente."
De acordo com a linha do tempo de eventos da Cetus, suas principais pools CLMM foram desativadas para evitar mais perdas dentro de 30 minutos após o início da exploração. Aproximadamente $223 milhões já haviam sido drenados até aquele ponto, fazendo com que vários tokens baseados na Sui despencassem de preço em meio ao caos. Dentro de uma hora e 20 minutos após o ataque, os validadores da Sui começaram a votar para rejeitar transações dos endereços do atacante, e uma vez que o voto ultrapassou 33% do total de participação, endereços que haviam drenado cerca de $162 milhões foram efetivamente "congelados," disse a Cetus.
Isso bloqueou os endereços do atacante de transacionar com esses fundos na Sui, desencadeando uma reação negativa de críticos que argumentaram que a censura expôs riscos de centralização. No entanto, cerca de $60 milhões já haviam sido convertidos para USDC, transferidos para Ethereum e trocados por ETH, notaram analistas on-chain anteriormente.
O contrato vulnerável foi posteriormente corrigido e atualizado, embora ainda não tenha sido totalmente reiniciado.
Negociações e recompensas
Em uma mensagem ao atacante, a Cetus e a empresa de análise de dados Inca Digital então solicitaram a devolução de 20.920 ETH e os fundos congelados nas carteiras Sui do explorador, afirmando que nenhuma ação legal ou pública adicional seria tomada se o acordo fosse aceito.
A Cetus disse que não recebeu nenhuma comunicação do hacker, e a equipe anunciou subsequentemente uma recompensa de $5 milhões por informações relevantes que resultassem na identificação e prisão bem-sucedidas do hacker, pagável a critério da Sui Foundation.
Ao mesmo tempo, a Cetus também pediu à comunidade Sui que apoiasse uma atualização do protocolo para recuperar os $162 milhões de fundos congelados e devolvê-los a seus legítimos proprietários. "Ninguém pode tomar essa decisão unilateralmente. Propomos uma votação on-chain envolvendo os principais participantes da rede, incluindo validadores e stakers SUI, para decidir se essa atualização é do melhor interesse da comunidade Sui," disse. "Queremos recuperar e devolver os fundos roubados, mas respeitaremos o que quer que a comunidade decida."
Qual é o próximo passo?
A Cetus disse que havia investido pesadamente em auditorias de contratos inteligentes e salvaguardas do sistema desde seu lançamento, acreditando que várias revisões e ampla adoção por desenvolvedores ofereciam proteção suficiente. No entanto, a equipe reconheceu que a exploração recente deixou claro que essa sensação de segurança estava equivocada e que "precisa fazer mais."
Para fortalecer suas defesas, a Cetus está implementando monitoramento em tempo real aprimorado, configurações de gerenciamento de riscos mais rigorosas, cobertura de testes mais profunda e auditorias mais frequentes, baseadas em marcos, além de se comprometer a uma maior transparência por meio de relatórios públicos sobre métricas de cobertura de código.
No curto prazo, a Cetus está trabalhando com a equipe de segurança da Sui e parceiros de auditoria para revalidar todos os contratos atualizados antes de reativar suas pools CLMM. A Cetus também está colaborando com parceiros do ecossistema em um plano de recuperação para restaurar o acesso à liquidez para LPs impactados, incluindo a votação on-chain para ajudar a devolver os ativos dos usuários.
Enquanto isso, os procedimentos legais estão em andamento, embora a Cetus também tenha estendido sua oferta de chapéu branco ao atacante na esperança de recuperar fundos sem mais danos. Um aviso final será enviado ao hacker em breve, disse.
