Sui DEX Cetus sagt, übersehener Fehler in Open-Source-Bibliothek, die von Smart Contract verwendet wird, führte zu einem Exploit von 223 Millionen Dollar

Nach einem Angriff in Höhe von 223 Millionen Dollar in der vergangenen Woche bestätigte die auf Sui basierende dezentrale Börse Cetus Protocol, dass ein Fehler in einer Open-Source-Bibliothek, die von ihrem Smart Contract verwendet wird, hinter dem Exploit steckte, der die Gelder der Nutzer abfließen ließ.

Genauer gesagt zielte der Angriff auf Cetus' Concentrated Liquidity Market Maker (CLMM) Pools unter Verwendung des Smart Contracts ab. Er beinhaltete die Manipulation von Poolpreisen durch einen Flash Swap, die Ausnutzung eines Überlaufprüfungsfehlers, um künstlich große Liquiditätswerte mit einer minimalen Menge an Token einzuspeisen, und dann wiederholtes Entfernen von Liquidität, um Vermögenswerte abzuziehen, so ein vollständiger Vorfallbericht.

Die Schwachstelle resultierte aus einer falsch angewendeten Ganzzahlüberlauf-Schutzmaßnahme in der inter_mate-Bibliothek, insbesondere in der checked_shlw-Methode, die Eingaben fälschlicherweise gegen ein 256-Bit-Limit statt eines 192-Bit-Limits validierte, was unkontrollierte Liquiditätseinspeisungen ermöglichte, erklärte das Team.

"Es ist notwendig klarzustellen, dass kürzlich einige Leute in sozialen Medien fälschlicherweise glaubten, dass der Exploit durch einen arithmetischen Fehler der MAX_U64-Prüfung verursacht wurde, der im vorherigen Audit-Bericht markiert wurde, was viele Menschen, die die Fakten nicht kannten, in die Irre führte", bemerkte Cetus. "Wir erklären hiermit, dass dieses Problem nichts mit dem jüngsten Exploit zu tun hat."

Laut Cetus' Zeitachse der Ereignisse wurden seine Kern-CLMM-Pools innerhalb von 30 Minuten nach Beginn des Exploits deaktiviert, um weiteren Verlust zu verhindern. Zu diesem Zeitpunkt waren bereits etwa 223 Millionen Dollar abgezogen worden, was dazu führte, dass verschiedene auf Sui basierende Token im Preis fielen. Innerhalb von einer Stunde und 20 Minuten nach dem Angriff begannen Sui-Validatoren, über die Ablehnung von Transaktionen von den Adressen des Angreifers abzustimmen, und sobald die Abstimmung 33 % des gesamten Einsatzes überschritt, wurden Adressen, die etwa 162 Millionen Dollar abgezogen hatten, effektiv "eingefroren", sagte Cetus.

Dies blockierte die Adressen des Angreifers daran, mit diesen Geldern auf Sui zu transagieren, was eine Gegenreaktion von Kritikern auslöste, die argumentierten, dass die Zensur Zentralisierungsrisiken aufdeckte. Allerdings waren etwa 60 Millionen Dollar bereits in USDC umgewandelt, zu Ethereum überbrückt und in ETH getauscht worden, wie Onchain-Analysten zuvor feststellten.

Der anfällige Vertrag wurde später gepatcht und aktualisiert, obwohl er noch nicht vollständig neu gestartet wurde.

Verhandlungen und Kopfgelder

In einer Nachricht an den Angreifer forderten Cetus und das Datenanalyseunternehmen Inca Digital dann die Rückgabe von 20.920 ETH und der auf den Sui-Wallets des Angreifers eingefrorenen Gelder und erklärten, dass keine weiteren rechtlichen oder öffentlichen Maßnahmen ergriffen würden, wenn die Einigung akzeptiert würde.

Cetus sagte, es habe keine Kommunikation vom Hacker erhalten, und das Team kündigte daraufhin ein Kopfgeld von 5 Millionen Dollar für relevante Informationen an, die zur erfolgreichen Identifizierung und Verhaftung des Hackers führten, zahlbar nach Ermessen der Sui Foundation.

Gleichzeitig bat Cetus auch die Sui-Community, ein Protokoll-Upgrade zu unterstützen, um die 162 Millionen Dollar an eingefrorenen Geldern wiederherzustellen und ihren rechtmäßigen Eigentümern zurückzugeben. "Niemand kann diese Entscheidung einseitig treffen. Wir schlagen eine Onchain-Abstimmung vor, an der die wichtigsten Teilnehmer des Netzwerks, einschließlich Validatoren und SUI-Staker, beteiligt sind, um zu entscheiden, ob dieses Upgrade im besten Interesse der Sui-Community ist", hieß es. "Wir wollen die gestohlenen Gelder wiederherstellen und zurückgeben, aber wir werden respektieren, was auch immer die Community entscheidet."

Was kommt als Nächstes?

Cetus sagte, es habe seit seiner Einführung stark in Smart-Contract-Audits und Systemschutzmaßnahmen investiert, da es glaubte, dass mehrere Überprüfungen und die weit verbreitete Entwicklerakzeptanz ausreichenden Schutz boten. Das Team räumte jedoch ein, dass der jüngste Exploit deutlich machte, dass dieses Sicherheitsgefühl fehl am Platz war und dass es "mehr tun muss".

Um seine Abwehrkräfte zu stärken, implementiert Cetus verbesserte Echtzeitüberwachung, strengere Risikomanagementkonfigurationen, tiefere Testabdeckung und häufigere, meilensteinbasierte Audits, neben dem Engagement für mehr Transparenz.

Kurzfristig arbeitet Cetus mit dem Sui-Sicherheitsteam und Audit-Partnern zusammen, um alle aktualisierten Verträge zu überprüfen, bevor die CLMM-Pools wieder aktiviert werden. Cetus kooperiert auch mit Partnern des Ökosystems an einem Wiederherstellungsplan, um den betroffenen LPs den Zugang zu Liquidität wiederherzustellen, einschließlich der On-Chain-Abstimmung, um Benutzergelder zurückzugeben.

In der Zwischenzeit laufen rechtliche Schritte, obwohl Cetus dem Angreifer auch ein White-Hat-Angebot unterbreitet hat, in der Hoffnung, die Gelder ohne weiteren Schaden zurückzuerhalten. Eine letzte Mitteilung wird dem Hacker bald gesendet, hieß es.