La autopsia de Dedaub dijo que los atacantes explotaron una falla crítica en la indemnización en la lógica del fabricante de mercado automatizado por el Protocolo CETUS, que resultó en $ 223 millones en pérdidas de usuarios.
“Este incidente representa una de las vulnerabilidades de características más importantes en la historia reciente, que son causadas por defectos sutiles pero cruciales en la protección de” desbordamiento “, dijo la firma de seguridad de Blockchain Dedaub en su informe.
Dedaub explicó que el defecto implica “desbordamiento” en las matemáticas utilizadas por los fabricantes de mercado de Automation CETUS, donde las condiciones incorrectas no manejan correctamente la posición más importante en grandes entradas numéricas y “no se produjeron resultados esperados”.
En lugar de rechazar valores de gran tamaño, el sistema los trunca, lo que hace que la salida parezca mucho más pequeña de lo que debería ser.
Esto permite a los atacantes depositar solo un token, que el protocolo atribuye incorrectamente a su ubicación de liquidez. Luego usan la posición para sacar una gran cantidad de activos reales de la piscina.
Según Dadaub, la compañía de seguridad de blockchain Ottersec realizó vulnerabilidades similares a principios de 2023 al auditar la base del código de protocolo.
Sin embargo, después de que el código se portó más tarde a la red Sui, el problema básico persistió. A pesar de los intentos de los desarrolladores de implementar salvaguardas, las verificaciones de derrames son defectuosas, lo que permite que el mismo tipo de exploit pase desapercibido.
“Este incidente muestra por qué no se ignoran los casos de borde en Defi”, advirtió Ditaub. Agregó que las matemáticas complejas en finanzas descentralizadas requieren una cuidadosa revisión y pruebas. Insta a los desarrolladores a verificar manualmente la protección del desbordamiento, especialmente cuando usan matemáticas grandes o avanzadas.
CETUS utiliza ventas activadas
CETUS, el principal DEX en la red Sui, fue pirateado en las primeras horas del 22 de mayo, lo que provocó una de las mayores pérdidas en el ecosistema Sui hasta la fecha. Las investigaciones preliminares afirman que el incidente se originó en un “error de Oracle”.
La exploit causó pérdidas en varios grupos de liquidez de más de $ 223 millones, lo que provocó una venta general generalizada de tokens relacionados, incluidos Sui y Cetus, más del 40% en las horas posteriores a la violación. Los miembros locales de la red y los tokens de capitalización de mercado más pequeños causan mayores pérdidas, algunas de las cuales pierden más del 90%.
En respuesta, la Fundación SUI coordinó con validadores para congelar alrededor de $ 163 millones de fondos robados. CETUS también anunció una recompensa de $ 5 millones para identificar la información de la persona a cargo.
