Sui DEX Cetus заявляет, что упущенный из виду недостаток в библиотеке с открытым исходным кодом, используемой смарт-контрактом, привел к эксплуатации на сумму $223 миллиона

После атаки на сумму 223 миллиона долларов на прошлой неделе, децентрализованная биржа Cetus Protocol, основанная на Sui, подтвердила, что причиной эксплойта, который вывел средства пользователей, стала ошибка в библиотеке с открытым исходным кодом, используемой в ее смарт-контракте.

Более конкретно, атака была нацелена на пулы Concentrated Liquidity Market Maker (CLMM) Cetus с использованием смарт-контракта. Она включала манипуляцию ценами в пулах с помощью мгновенного обмена, использование ошибки проверки переполнения для введения искусственно большого значения ликвидности с минимальным количеством токенов, а затем многократное удаление ликвидности для вывода активов, согласно полному отчету о происшествии.

Уязвимость возникла из-за неправильно примененной защиты от переполнения целых чисел в библиотеке inter_mate, особенно в методе checked_shlw, который неправильно проверял входные данные на соответствие 256-битному лимиту вместо 192-битного, что позволило неограниченные инъекции ликвидности, объяснила команда.

"Необходимо уточнить, что недавно некоторые люди в социальных сетях ошибочно полагали, что эксплойт был вызван арифметической ошибкой проверки MAX_U64, отмеченной в предыдущем аудиторском отчете, что ввело в заблуждение многих людей, не знавших фактов," отметил Cetus. "Мы заявляем, что эта проблема не имеет отношения к недавнему эксплойту."

Согласно хронологии событий Cetus, его основные пулы CLMM были отключены, чтобы предотвратить дальнейшие потери в течение 30 минут после начала эксплойта. К тому моменту было уже выведено около 223 миллионов долларов, что вызвало падение цен на различные токены, основанные на Sui, в условиях хаоса. В течение часа и 20 минут после атаки валидаторы Sui начали голосовать за отклонение транзакций с адресов атакующего, и как только голосование превысило 33% от общего количества ставок, адреса, которые вывели около 162 миллионов долларов, были фактически "заморожены", сообщил Cetus.

Это заблокировало адреса атакующего от транзакций с этими средствами на Sui, вызвав негативную реакцию критиков, которые утверждали, что цензура выявила риски централизации. Однако около 60 миллионов долларов уже были конвертированы в USDC, перенесены на Ethereum и обменены на ETH, как ранее отмечали аналитики в сети.

Уязвимый контракт был позже исправлен и обновлен, хотя он еще не был полностью перезапущен.

Переговоры и вознаграждения

В сообщении к атакующему Cetus и компания по анализу данных Inca Digital затем запросили возврат 20,920 ETH и средств, замороженных на кошельках атакующего в Sui, заявив, что никаких дальнейших юридических или публичных действий не будет предпринято, если соглашение будет принято.

Cetus сообщил, что не получил никакой связи от хакера, и команда впоследствии объявила о вознаграждении в размере 5 миллионов долларов за релевантную информацию, которая приведет к успешной идентификации и аресту хакера, выплачиваемую по усмотрению Фонда Sui.

В то же время Cetus также попросил сообщество Sui поддержать обновление протокола для восстановления 162 миллионов долларов замороженных средств и их возврата законным владельцам. "Никто не может принять это решение в одностороннем порядке. Мы предлагаем провести голосование в сети, в котором примут участие основные участники сети, включая валидаторов и стейкеров SUI, чтобы решить, является ли это обновление в интересах сообщества Sui," говорится в сообщении. "Мы хотим восстановить и вернуть украденные средства, но мы будем уважать любое решение, принятое сообществом."

Что дальше?

Cetus заявил, что с момента запуска он значительно инвестировал в аудиты смарт-контрактов и системы безопасности, полагая, что множественные проверки и широкое принятие разработчиками обеспечивают достаточную защиту. Однако команда признала, что недавний эксплойт ясно показал, что это чувство безопасности было ошибочным и что "необходимо сделать больше."

Для укрепления своей защиты Cetus внедряет улучшенный мониторинг в реальном времени, более строгие конфигурации управления рисками, более глубокое покрытие тестов и более частые аудиты, основанные на этапах, наряду с обязательством к большей прозрачности.

посредством публичной отчетности о метриках покрытия кода.

В ближайшей перспективе Cetus работает с командой безопасности Sui и партнерами по аудиту для повторной проверки всех обновленных контрактов перед повторной активацией своих CLMM пулов. Cetus также сотрудничает с партнерами по экосистеме над планом восстановления для восстановления доступа к ликвидности для пострадавших LP, включая голосование в сети для помощи в возврате активов пользователей.

Между тем, ведутся судебные разбирательства, хотя Cetus также предложил белую шляпу атакующему в надежде вернуть средства без дальнейшего ущерба. Скоро будет отправлено окончательное уведомление хакеру, говорится в сообщении.