DEX Sui Cetus mengatakan cacat yang terlewatkan dalam pustaka sumber terbuka yang digunakan oleh kontrak pintar menyebabkan eksploitasi senilai $223 juta
Cetus Protocol mengonfirmasi bahwa seorang penyerang mengeksploitasi kelemahan dalam perpustakaan sumber terbuka yang digunakan oleh kontrak pintar CLMM-nya, yang mengakibatkan kerugian sebesar $223 juta. Ke depannya, Cetus berencana untuk memperkuat keamanan melalui pengujian yang ketat, audit yang diperluas, dan program bug bounty yang diperkuat.

Setelah mengalami serangan senilai $223 juta minggu lalu, bursa terdesentralisasi berbasis Sui, Cetus Protocol, mengonfirmasi bahwa cacat dalam perpustakaan sumber terbuka yang digunakan oleh kontrak pintarnya adalah penyebab eksploitasi yang menguras dana pengguna.
Lebih spesifik, serangan tersebut menargetkan kolam Concentrated Liquidity Market Maker (CLMM) Cetus menggunakan kontrak pintar. Ini melibatkan manipulasi harga kolam menggunakan pertukaran kilat, mengeksploitasi kesalahan pemeriksaan overflow untuk menyuntikkan nilai likuiditas yang sangat besar dengan jumlah token yang minimal, dan kemudian berulang kali menghapus likuiditas untuk menyedot aset, menurut laporan insiden lengkap.
Kerentanan tersebut berasal dari penerapan yang salah dari perlindungan overflow integer di perpustakaan inter_mate, khususnya dalam metode checked_shlw, yang salah memvalidasi input terhadap batas 256-bit alih-alih batas 192-bit, memungkinkan injeksi likuiditas yang tidak terkontrol, jelas tim tersebut.
"Perlu dijelaskan bahwa baru-baru ini beberapa orang di media sosial salah percaya bahwa eksploitasi disebabkan oleh kesalahan aritmatika dari pemeriksaan MAX_U64 yang ditandai dalam laporan audit sebelumnya, yang menyesatkan banyak orang yang tidak mengetahui fakta tersebut," kata Cetus. "Kami dengan ini menyatakan bahwa masalah ini tidak ada hubungannya dengan eksploitasi baru-baru ini."
Menurut garis waktu peristiwa Cetus, kolam CLMM intinya dinonaktifkan untuk mencegah kerugian lebih lanjut dalam waktu 30 menit setelah eksploitasi dimulai. Sekitar $223 juta sudah disedot pada saat itu, menyebabkan berbagai token berbasis Sui anjlok dalam harga di tengah kekacauan. Dalam waktu satu jam dan 20 menit setelah serangan, validator Sui mulai memberikan suara untuk menolak transaksi dari alamat penyerang, dan setelah suara melebihi 33% dari total saham, alamat yang telah menguras sekitar $162 juta secara efektif "dibekukan," kata Cetus.
Ini memblokir alamat penyerang dari bertransaksi dengan dana tersebut di Sui, memicu reaksi dari para kritikus yang berpendapat bahwa sensor tersebut mengungkapkan risiko sentralisasi. Namun, sekitar $60 juta sudah dikonversi ke USDC, dijembatani ke Ethereum, dan ditukar dengan ETH, catat analis onchain sebelumnya.
Kontrak yang rentan kemudian ditambal dan ditingkatkan, meskipun belum sepenuhnya dimulai kembali.
Negosiasi dan hadiah
Dalam pesan kepada penyerang, Cetus dan perusahaan analitik data Inca Digital kemudian meminta pengembalian 20.920 ETH dan dana yang dibekukan di dompet Sui penyerang, menyatakan bahwa tidak ada tindakan hukum atau publik lebih lanjut yang akan diambil jika penyelesaian diterima.
Cetus mengatakan tidak menerima komunikasi dari peretas, dan tim kemudian mengumumkan hadiah $5 juta untuk informasi relevan yang menghasilkan identifikasi dan penangkapan peretas yang berhasil, yang dapat dibayarkan atas kebijakan Yayasan Sui.
Pada saat yang sama, Cetus juga meminta komunitas Sui untuk mendukung peningkatan protokol untuk memulihkan $162 juta dana yang dibekukan dan mengembalikannya kepada pemiliknya yang sah. "Tidak ada yang bisa membuat keputusan ini secara sepihak. Kami mengusulkan pemungutan suara onchain yang melibatkan peserta utama jaringan, termasuk validator dan staker SUI, untuk memutuskan apakah peningkatan ini adalah untuk kepentingan terbaik komunitas Sui," katanya. "Kami ingin memulihkan dan mengembalikan dana yang dicuri, tetapi kami akan menghormati apa pun yang diputuskan oleh komunitas."
Apa selanjutnya?
Cetus mengatakan telah banyak berinvestasi dalam audit kontrak pintar dan perlindungan sistem sejak diluncurkan, percaya bahwa tinjauan ganda dan adopsi pengembang yang luas menawarkan perlindungan yang cukup. Namun, tim mengakui eksploitasi baru-baru ini membuat jelas bahwa rasa aman ini salah tempat dan bahwa mereka "harus melakukan lebih banyak."
Untuk memperkuat pertahanannya, Cetus menerapkan pemantauan waktu nyata yang ditingkatkan, konfigurasi manajemen risiko yang lebih ketat, cakupan pengujian yang lebih dalam, dan audit berbasis tonggak yang lebih sering, bersama dengan komitmen untuk transparansi yang lebih besar.
y melalui pelaporan publik metrik cakupan kode.
Dalam jangka pendek, Cetus bekerja sama dengan tim keamanan Sui dan mitra audit untuk memvalidasi ulang semua kontrak yang ditingkatkan sebelum mengaktifkan kembali kolam CLMM-nya. Cetus juga berkolaborasi dengan mitra ekosistem pada rencana pemulihan untuk memulihkan akses likuiditas bagi LP yang terdampak, termasuk pemungutan suara onchain untuk membantu mengembalikan aset pengguna.
Sementara itu, proses hukum sedang berlangsung, meskipun Cetus juga telah memperpanjang tawaran topi putihnya kepada penyerang dengan harapan dapat memulihkan dana tanpa kerusakan lebih lanjut. Pemberitahuan terakhir akan segera dikirimkan kepada peretas, katanya.
Disclaimer: Konten pada artikel ini hanya merefleksikan opini penulis dan tidak mewakili platform ini dengan kapasitas apa pun. Artikel ini tidak dimaksudkan sebagai referensi untuk membuat keputusan investasi.
Kamu mungkin juga menyukai
Katana, rantai yang berfokus pada DeFi yang diinkubasi oleh Polygon Labs dan GSR, meluncurkan mainnet pribadi
Polygon Labs dan GSR telah menginkubasi blockchain yang berfokus pada DeFi bernama Katana, yang akan diluncurkan di mainnet privat pada hari Rabu. Jaringan ini dirancang untuk memusatkan likuiditas di seluruh aplikasinya, termasuk mitra peluncuran seperti Sushi dan Morpho, membantu pengguna untuk menghasilkan imbal hasil. Pengguna dapat mulai mengunci ETH, USDC, USDT, atau WBTC selama periode mainnet privat Katana dan akan menerima token KAT.

Coinbase meluncurkan Dompet CDP yang menawarkan 'kontrol penuh' tanpa manajemen kunci
Ringkasan Cepat Dompet CDP Coinbase memungkinkan pengembang untuk membuat dompet yang aman dan dapat diprogram melalui API tanpa menangani kunci pribadi atau menjalankan infrastruktur. Operasi sensitif diamankan dalam Lingkungan Eksekusi Terpercaya, memungkinkan "kontrol penuh" tanpa manajemen kunci, kata bursa kripto tersebut.

Telegram mengincar penerbitan obligasi senilai $1,5 miliar setelah meraup $300 juta dari kesepakatan xAI Grok
Ringkasan Singkat Telegram berencana mengumpulkan $1,5 miliar melalui penerbitan obligasi baru, termasuk dari pendukung yang sudah ada seperti BlackRock dan perusahaan investasi Abu Dhabi, Mubadala. Langkah ini dilakukan saat perusahaan pesan tersebut bermitra dengan xAI untuk mengintegrasikan chatbot Grok AI, yang akan menghasilkan $300 juta melalui kesepakatan tunai dan ekuitas serta pendapatan langganan. Pada hari Rabu, TON Foundation yang independen, yang mengawasi pengembangan Layer 1 yang berfokus pada Telegram, merekrut wakil presiden baru saat mereka memperluas pembayarannya.

Dragonfly memimpin bersama pendanaan Seri A senilai $36 juta di startup pembayaran lintas batas Conduit
Platform pembayaran lintas batas Conduit mengumumkan bahwa mereka berhasil mengumpulkan dana sebesar $36 juta dalam putaran pendanaan Seri A yang dipimpin bersama oleh Dragonfly dan Altos Ventures. Startup ini bergabung dengan sektor yang penuh dengan perusahaan yang berusaha menjembatani "kesenjangan antara perbankan tradisional dan teknologi stablecoin" untuk membuat transfer dana melintasi batas internasional menjadi lebih cepat, mudah, dan murah bagi individu maupun bisnis.

Berita trending
LainnyaHarga kripto
Lainnya








