De acordo com o fato póstumo de Dedaub, o invasor aproveitou uma falha séria de transbordamento na lógica automatizada do fabricante de mercado do Cetus Protocol, elevando as perdas de usuários para US $ 223 milhões.
“O incidente representa um dos obstáculos mais importantes da história recente causada por falhas sutis, mas significativas, na proteção de ‘transbordamento'”, disse a empresa de segurança de blockchain Dedaub em um relatório.
Dedaub explicou que a falha inclui um “transbordamento” matemático usado pelos fabricantes automatizados de mercado da CETUS. Lá, ele explicou que a condição incorreta não conseguiu lidar adequadamente com a entrada numérica mais importante e “não produziu o resultado pretendido”.
Em vez de rejeitar os valores de grandes dimensões, o sistema os trunca e faz com que a saída pareça muito menor do que era originalmente.
Isso permitiu ao invasor depositar apenas um token, mas o protocolo os elogiou acidentalmente por uma enorme posição de liquidez. Ele então usou essa posição para extrair uma grande quantidade de ativos reais da piscina.
Uma vulnerabilidade semelhante foi sinalizada no início de 2023 pela empresa de segurança da blockchain OTTERSEC durante uma auditoria de protocolos de protocolos implantados em APTOS, de acordo com Dedaub.
No entanto, depois que o código foi posteriormente transportado para a rede SUI, os problemas subjacentes ainda permaneceram. Os desenvolvedores tentaram implementar uma salvaguarda, mas a verificação de transbordamento foi falha, permitindo que o mesmo tipo de exploração escorregue sem ser notado.
“Este caso mostra por que o caso de Edge da Defi não pode ser ignorado”, alertou Dedaub, acrescentando que a matemática complexa de finanças descentralizadas requer revisão e teste cuidadosos. Eu pedi aos desenvolvedores que validem manualmente a proteção de transbordamento, especialmente ao usar matemática múltipla ou avançada.
CETUS explorar a célula de gatilho
Cetus, o principal DEX da SUI Networks, foi invadido no início de 22 de maio, causando uma das maiores perdas no ecossistema da SUI até o momento. A investigação inicial alegou que o incidente se originou de “Oracle Bug”.
As façanhas perderam mais de US $ 223 milhões em vários pools de liquidez, resultando em vendas generalizadas em tokens relacionados, incluindo Sui e Cetus, abaixo de 40% por violações. Memocons e tokens de capitalização de mercado menores que cresceram selvagens na rede viram ainda mais perdas acentuadas aumentarem ainda mais, com alguns mais de 90%.
Em resposta, a Fundação SUI coordenou com o validador para congelar aproximadamente US $ 163 milhões em fundos roubados. Cetus também anunciou uma recompensa de US $ 5 milhões em informações que identificam a pessoa responsável.
