DEX Sui Cetus mengatakan cacat yang terlewatkan dalam pustaka sumber terbuka yang digunakan oleh kontrak pintar menyebabkan eksploitasi senilai $223 juta

Setelah mengalami serangan senilai $223 juta minggu lalu, bursa terdesentralisasi berbasis Sui, Cetus Protocol, mengonfirmasi bahwa cacat dalam perpustakaan sumber terbuka yang digunakan oleh kontrak pintarnya adalah penyebab eksploitasi yang menguras dana pengguna.

Lebih spesifik, serangan tersebut menargetkan kolam Concentrated Liquidity Market Maker (CLMM) Cetus menggunakan kontrak pintar. Ini melibatkan manipulasi harga kolam menggunakan pertukaran kilat, mengeksploitasi kesalahan pemeriksaan overflow untuk menyuntikkan nilai likuiditas yang sangat besar dengan jumlah token yang minimal, dan kemudian berulang kali menghapus likuiditas untuk menyedot aset, menurut laporan insiden lengkap.

Kerentanan tersebut berasal dari penerapan yang salah dari perlindungan overflow integer di perpustakaan inter_mate, khususnya dalam metode checked_shlw, yang salah memvalidasi input terhadap batas 256-bit alih-alih batas 192-bit, memungkinkan injeksi likuiditas yang tidak terkontrol, jelas tim tersebut.

"Perlu dijelaskan bahwa baru-baru ini beberapa orang di media sosial salah percaya bahwa eksploitasi disebabkan oleh kesalahan aritmatika dari pemeriksaan MAX_U64 yang ditandai dalam laporan audit sebelumnya, yang menyesatkan banyak orang yang tidak mengetahui fakta tersebut," kata Cetus. "Kami dengan ini menyatakan bahwa masalah ini tidak ada hubungannya dengan eksploitasi baru-baru ini."

Menurut garis waktu peristiwa Cetus, kolam CLMM intinya dinonaktifkan untuk mencegah kerugian lebih lanjut dalam waktu 30 menit setelah eksploitasi dimulai. Sekitar $223 juta sudah disedot pada saat itu, menyebabkan berbagai token berbasis Sui anjlok dalam harga di tengah kekacauan. Dalam waktu satu jam dan 20 menit setelah serangan, validator Sui mulai memberikan suara untuk menolak transaksi dari alamat penyerang, dan setelah suara melebihi 33% dari total saham, alamat yang telah menguras sekitar $162 juta secara efektif "dibekukan," kata Cetus.

Ini memblokir alamat penyerang dari bertransaksi dengan dana tersebut di Sui, memicu reaksi dari para kritikus yang berpendapat bahwa sensor tersebut mengungkapkan risiko sentralisasi. Namun, sekitar $60 juta sudah dikonversi ke USDC, dijembatani ke Ethereum, dan ditukar dengan ETH, catat analis onchain sebelumnya.

Kontrak yang rentan kemudian ditambal dan ditingkatkan, meskipun belum sepenuhnya dimulai kembali.

Negosiasi dan hadiah

Dalam pesan kepada penyerang, Cetus dan perusahaan analitik data Inca Digital kemudian meminta pengembalian 20.920 ETH dan dana yang dibekukan di dompet Sui penyerang, menyatakan bahwa tidak ada tindakan hukum atau publik lebih lanjut yang akan diambil jika penyelesaian diterima.

Cetus mengatakan tidak menerima komunikasi dari peretas, dan tim kemudian mengumumkan hadiah $5 juta untuk informasi relevan yang menghasilkan identifikasi dan penangkapan peretas yang berhasil, yang dapat dibayarkan atas kebijakan Yayasan Sui.

Pada saat yang sama, Cetus juga meminta komunitas Sui untuk mendukung peningkatan protokol untuk memulihkan $162 juta dana yang dibekukan dan mengembalikannya kepada pemiliknya yang sah. "Tidak ada yang bisa membuat keputusan ini secara sepihak. Kami mengusulkan pemungutan suara onchain yang melibatkan peserta utama jaringan, termasuk validator dan staker SUI, untuk memutuskan apakah peningkatan ini adalah untuk kepentingan terbaik komunitas Sui," katanya. "Kami ingin memulihkan dan mengembalikan dana yang dicuri, tetapi kami akan menghormati apa pun yang diputuskan oleh komunitas."

Apa selanjutnya?

Cetus mengatakan telah banyak berinvestasi dalam audit kontrak pintar dan perlindungan sistem sejak diluncurkan, percaya bahwa tinjauan ganda dan adopsi pengembang yang luas menawarkan perlindungan yang cukup. Namun, tim mengakui eksploitasi baru-baru ini membuat jelas bahwa rasa aman ini salah tempat dan bahwa mereka "harus melakukan lebih banyak."

Untuk memperkuat pertahanannya, Cetus menerapkan pemantauan waktu nyata yang ditingkatkan, konfigurasi manajemen risiko yang lebih ketat, cakupan pengujian yang lebih dalam, dan audit berbasis tonggak yang lebih sering, bersama dengan komitmen untuk transparansi yang lebih besar.

y melalui pelaporan publik metrik cakupan kode.

Dalam jangka pendek, Cetus bekerja sama dengan tim keamanan Sui dan mitra audit untuk memvalidasi ulang semua kontrak yang ditingkatkan sebelum mengaktifkan kembali kolam CLMM-nya. Cetus juga berkolaborasi dengan mitra ekosistem pada rencana pemulihan untuk memulihkan akses likuiditas bagi LP yang terdampak, termasuk pemungutan suara onchain untuk membantu mengembalikan aset pengguna.

Sementara itu, proses hukum sedang berlangsung, meskipun Cetus juga telah memperpanjang tawaran topi putihnya kepada penyerang dengan harapan dapat memulihkan dana tanpa kerusakan lebih lanjut. Pemberitahuan terakhir akan segera dikirimkan kepada peretas, katanya.