Cetus Protocol, крупнейшая децентрализованная биржа на блокчейне Sui, предлагает вознаграждение в размере 6 миллионов долларов хакеру, который совершил масштабную атаку на 223 миллиона долларов, произошедшую 22 мая.
В заявлении от 22 мая, сопровождаемом сообщением в сети, команда Cetus подтвердила, что они идентифицировали Ethereum-кошелек злоумышленника, и предложила «белую сделку» для возврата средств пользователей. Хакеру предлагается вернуть 20 920 ETH и все замороженные активы на Sui (SUI) в обмен на сохранение 2324 Ethereum (ETH) на сумму около 6 миллионов долларов и защиту от судебных исков.
Кетус сказал, что это предложение ограничено по времени и что, если средства будут выведены или перемешаны, сделка будет расторгнута. Команда координирует свои действия с правоохранительными органами, специалистами по киберпреступности, фондом Sui и регулирующими органами, включая FinCEN и Министерство обороны США. Компания Inca Digital, специализирующаяся на кибербезопасности, возглавляет переговоры.
Злоумышленник воспользовался уязвимостью в механизме ценообразования Cetus и повлиял на пулы маркет-мейкеров с концентрированной ликвидностью. Злоумышленник использовал поддельные токены, которые являются фейковыми или низкоценными активами с изменёнными метаданными, чтобы ввести небольшое количество ликвидности в торговые пулы.
Из-за искажения внутренней отчётности этих пулов хакер смог вывести значительное количество ценных токенов, таких как SUI и USD Coin (USDC), по неверным обменным курсам.
Злоумышленник обманул систему, заставив её поверить в то, что пулы сбалансированы, тщательно спланировав эти поддельные депозиты токенов с помощью сложных мгновенных обменов и манипуляций с ценами. В результате они смогли вывести значительные реальные активы, не предоставив эквивалентную стоимость.
Сообщается, что до взлома Cetus успешно прошел недавнюю проверку безопасности. Однако, используя внутреннюю логику ценообразования и экономические допущения, а не простые ошибки в коде, злоумышленник смог обойти типичные проверки на уязвимости.
После первоначального вывода 11 миллионов долларов из пула SUI/USDC злоумышленник быстро усилил атаку. Он перевёл более 60 миллионов долларов из украденных средств в Ethereum и купил более 21 900 ETH. В настоящее время на его кошельках находятся миллионы долларов в SUI, ETH и стейблкоинах.
Экосистема Sui сильно пострадала от этого эксплойта. Меньшие по размеру токены, такие как AXOL, HIPPO и SQUIRT, потеряли почти всю свою стоимость, в то время как токен SUI упал на целых 15%. Токен CETUS, принадлежащий Cetus, упал на 20–33%. Объёмы торгов резко возросли, поскольку пользователи пытались вывести средства.
Cetus приостановил работу смарт-контрактов после взлома и пытается обеспечить безопасность своей платформы. Этот инцидент вызывает вопросы о безопасности протоколов DeFi в новых блокчейнах, таких как Sui и Aptos (APT). Несмотря на то, что эти экосистемы предлагают инновации, аналитики предупреждают, что уязвимости в сложной логике DeFi остаются постоянным риском.
