Sui au secours de Cetus : Les fonds bientôt récupérés ?

Jeudi 22 mai, Cetus, le DEX principal de l’écosystème Sui, est victime d’un hack et perd 223 millions de dollars. Tous les acteurs du réseau collaborent depuis quatre jours pour récupérer les fonds volés. Après le gel des fonds, Cetus a lancé une proposition pour les récupérer et obtient le soutien de la fondation Sui.

Retour sur le hack de Cetus

Depuis ses débuts, les fonds gérés par la finance décentralisée suscitent la convoitise des hackers. L’écosystème Sui ne fait pas exception à la règle et son DEX principal, Cetus, vient de subir un hack important la semaine dernière. L’attaquant a réussi à drainer l’équivalent de 223 millions de dollars en utilisant de faux tokens pour manipuler les courbes de prix.

Le jour même, l’équipe de Cetus a voulu minimiser le problème en communiquant uniquement autour d’un bug de l’oracle avant d’être obligée de reconnaître publiquement le vol. Pendant ce temps, le hacker sait que ce n’est qu’une question de temps avant que des mesures ne soient prises pour l’empêcher d’utiliser les fonds volés. Il décide donc de bridger l’équivalent de 60 millions de dollars pour la blockchain Ethereum afin d’échanger ces fonds avec de l’ETH, échappant aux mesures que la blockchain Sui pourrait prendre contre lui.

Les validateurs du réseau Sui ont gelé le reste des fonds (soit environ 160 millions de dollars), empêchant de fait le hacker de les utiliser, ce qui permet à Cetus de réfléchir à une stratégie de récupération des fonds.

La fondation Sui au secours de Cetus

Dès vendredi, la fondation Sui intervient pour négocier avec le hacker. Celui-ci détient 160 millions en USDC gelés sur le réseau Sui et plus de 20 000 ETH sur la blockchain Ethereum. La fondation a proposé au hacker d’agir comme un “white hat” au lieu de risquer des poursuites pénales. S’il redonne les fonds gelés et les ETH pour montrer sa bonne foi, il pourra garder en récompense 2 324 ETH, soit l’équivalent de 6 millions de dollars.

Pour l’instant, le hacker n’a pas accepté la proposition et plusieurs applications ont suspendu leur activité le temps de finaliser des audits de sécurité pour être certaines de ne pas être vulnérables à la même attaque.

Cetus vient donc de décider de changer de stratégie en utilisant la gouvernance du réseau Sui. Sa proposition, mise en ligne ce week-end, a pour but de demander une mise à jour du réseau afin de récupérer directement les fonds gelés, court-circuitant de fait l’action du hacker. Cette méthode radicale est celle du hard fork d’Ethereum en 2017 après le hack de The DAO et avait divisé la communauté.

Cette proposition vient d’obtenir une aide importante grâce au soutien de la fondation Sui . Cependant, celle-ci émet deux limites à son soutien : ce dernier est informel, la fondation n’utilisant pas son pouvoir de vote pour que la proposition ait gain de cause, par souci de neutralité. De plus, la fondation exige que les fonds récupérés servent en priorité à rembourser les utilisateurs de l’application. 

Polémique autour de la centralisation du réseau Sui

On peut se réjouir que Cetus, les validateurs et la fondation Sui collaborent pour récupérer les fonds volés par le hacker et dédommager les utilisateurs. Cependant, le gel des fonds a créé une polémique, car en un sens, il contredit la décentralisation du web3. En effet, le gel a été possible par l’action coordonnée de 114 validateurs et de Mysten Labs, la société qui gère le réseau, en changeant en temps réel le code source, sans demander l’avis de la communauté. Même si le motif peut être louable, cela montre que le réseau et les fonds des utilisateurs ne sont pas résistants à la censure.

Cette intervention relance un débat régulier au sein de la DeFi : faut-il privilégier la sécurité au détriment de la décentralisation  ? 

Quatre jours après le hack du DEX Cetus, la communauté Sui doit prendre une décision : faut-il mettre à jour le réseau pour récupérer les fonds ? La fondation Sui apporte son soutien pour aider à dédommager les utilisateurs, tout en essayant de garder un semblant de neutralité. Mais nul doute que ce hack et sa résolution laisseront des traces dans cet écosystème.