گزارش حادثه و یافتههای اصلی
پلتفرم غیرمتمرکز Cetus بر بستر شبکه Sui گزارشی تفصیلی از هک ۲۲۳ میلیون دلاری منتشر کرده است که در ۲۲ ماه مه اتفاق افتاد. در گزارش ۲۶ مه، Cetus توضیح داد که حمله به دلیل وجود یک آسیبپذیری در کتابخانه متنبازی بوده که در قراردادهای هوشمند این صرافی استفاده میشد.
مکانیزم حمله
هکر با بهرهبرداری از یک نقص در سیستم مدیریت نقدینگی صرافی، که نحوه افزودن و برداشت توکنها از استخرهای معاملاتی را کنترل میکند، حمله کرد. او از قابلیتی به نام flash swap (وام آنی) استفاده نمود تا استخرها را دستکاری کند؛ با واریز نقدینگی تقلبی و سپس برداشت مقدار زیادی توکن واقعی در چندین مرحله، چندین استخر را خالی کرد.
ریشه آسیبپذیری
Cetus در گزارش خود تأکید کرد که مشکل اصلی مربوط به یک بررسی Overflow در کتابخانه شخص ثالث بوده که بهدرستی انجام نمیشد. این مسئله ارتباطی با باگ MAX_U64 که در حسابرسیهای قبلی مطرح شده بود ندارد بلکه ناشی از یک بررسی نادرست شیفت بیت در اعداد بزرگ بود.
اقدامات توقف و مهار خسارت
تیم Cetus در عرض ۱۰ دقیقه فعالیت مشکوک را شناسایی و معاملات را متوقف کرد. سپس با هماهنگی اعتبارسنجهای شبکه Sui کیفپولهای هکر را منجمد نمودند که از انتقال حدود ۱۶۲ میلیون دلار جلوگیری کرد. بخش باقیمانده از طریق پل به اتریوم انتقال یافته بود.
برنامههای بازیابی و ایمنسازی
Cetus اعلام کرده است که قراردادهای هوشمند خود را دوباره حسابرسی میکند، سیستمهای نظارتی را بهبود میبخشد و طرحی برای کمک به بازیابی وجوه کاربران تدوین کرده است. این صرافی همچنین با شرکای اکوسیستم برای طرح بازیابی نقدینگی همکاری میکند و از اعتبارسنجهای Sui خواسته است تا از رأیگیریهای زنجیرهای برای بازگرداندن وجوه پشتیبانی کنند.
پیامدها و واکنش جامعه
قفل کل ارزش داراییها (TVL) در شبکه Sui از ۲٫۱۳ میلیارد دلار به حدود ۱٫۹۲ میلیارد دلار کاهش یافت و توکن CETUS حدود ۴۰٪ افت قیمت را تجربه کرد. این حادثه حتی باعث شد پایدار کوین USDC موقتاً از کانال دلاری خود خارج شود. در حالی که برخی کاربران از واکنش سریع اعتبارسنجها تمجید کردند، برخی دیگر نگران متمرکزبودن توانایی مسدودسازی کیفپولها شدند.
پیشنهاد جایزه سفید برای هکر
Cetus به هکر پیشنهاد کرده تا با بازگرداندن وجوه، مشمول جایزه ۶ میلیون دلاری «هکهت سفید» شود و از پیگیریهای قانونی در امان بماند.