Sui DEX Cetus Protocol memulai kembali platform setelah pulih dari eksploitasi senilai $223 juta

Bursa terdesentralisasi berbasis Sui dan Aptos, Cetus Protocol, diluncurkan kembali pada hari Minggu setelah pulih dari eksploitasi senilai $223 juta pada 22 Mei, memulihkan platform ke fungsionalitas penuh dan mengisi kembali pool yang terkena dampak dengan 85% hingga 99% dari likuiditas asli mereka, kata tim Cetus. 

Peretasan tersebut, yang terjadi setelah penyerang yang tidak dikenal mengeksploitasi cacat integer overflow dalam pustaka matematika bersama yang digunakan oleh kontrak Cetus untuk membuat satu token yang disetorkan tampak seperti bernilai jutaan dolar, adalah serangan paling merusak pada protokol DeFi mana pun di bulan Mei. Namun tak lama setelah peretasan, $162 juta dibekukan di Sui oleh validator dan akhirnya dikembalikan ke protokol. 

Sekarang, Cetus telah diluncurkan kembali, menutup lubang di pool likuiditas yang terkena dampak dengan dana yang dipulihkan, seluruh cadangan kasnya senilai $7 juta, dan pinjaman USDC senilai $30 juta dari yayasan Sui, kata protokol tersebut dalam sebuah pengumuman. Tingkat pemulihan untuk LP yang terkena dampak berkisar antara 85% hingga 99%; sisanya akan dikembalikan sebagai token CETUS selama 12 bulan mengikuti jadwal pembukaan kunci linear, kecuali ada pemulihan lebih lanjut dari penyerang. 

Cetus mengatakan telah mengidentifikasi dan menambal kerentanan yang menyebabkan eksploitasi, mengaudit protokol secara menyeluruh, dan menyeimbangkan kembali semua pool likuiditas yang terkena dampak untuk mempersiapkan peluncuran kembali. Namun aset senilai puluhan juta dolar masih berada di bawah kendali peretas, yang mentransfer beberapa aset ke alamat EVM dan mulai mencuci beberapa dana dengan transfer ke layanan "mixer" Tornado Cash . 

"Penyerang mengabaikan tawaran whitehat kami sebelumnya dan mulai mencoba mencuci aset — tindakan yang sia-sia dan dapat dilacak," tulis Cetus. "Kami sangat yakin bahwa penangkapan yang berhasil dan pemulihan aset yang tersisa hanya masalah waktu."

Analisis peretasan oleh perusahaan keamanan blockchain SlowMist menemukan bahwa peretas mempersiapkan serangan dua hari sebelumnya dengan mendanai dompet dengan dana yang cukup untuk gas untuk melaksanakan serangan, dan bahkan mencoba versi eksploitasi sebelumnya yang gagal. Eksploitasi hanya mempengaruhi pool berbasis Sui, dengan sisi Aptos dari protokol tidak terpengaruh. 

"Penyerang dengan tepat memilih parameter dan mengeksploitasi cacat dalam fungsi checked_shlw untuk mendapatkan likuiditas senilai miliaran dengan biaya hanya 1 token," tulis SlowMist. "Ini adalah serangan matematika yang sangat canggih."

Di masa depan, Cetus Protocol mengatakan berencana untuk memulai putaran audit komprehensif tambahan, meningkatkan sistem pemantauan waktu nyata protokol, memulai program hadiah white-hat baru, dan merevisi peta jalan mereka untuk fitur produk mendatang. 

"Peluncuran ulang ini menandakan lebih dari sekadar peluncuran kembali, tetapi pembaruan," tulis Cetus. 

Token asli Cetus Protocol, CETUS, telah turun sekitar 44% sejak 21 Mei, sehari sebelum serangan, menurut data CoinGecko .