Фирма по безопасности блокчейна Dedaub опубликовала отчет о взломе децентрализованной биржи Cetus, выявив первопричину атаки как эксплуатацию параметров ликвидности, используемых автоматическим маркет-мейкером (AMM) Cetus, которая осталась незамеченной из-за проверки на "переполнение" кода.
Согласно отчету, хакеры использовали уязвимость в проверке наиболее значащих битов (MSB), что позволило им манипулировать значениями параметров ликвидности на порядки и создавать относительно крупные позиции одним нажатием клавиши. Исследователи Dedaub написали:
«Это позволило им добавить огромные позиции ликвидности всего с одной единицей входных токенов, что впоследствии привело к опустошению пулов, содержащих сотни миллионов долларов в токенах.»
Этот инцидент и последующий отчет отражают тревожную тенденцию киберугроз и взломов, затрагивающих крипто- и Web3-индустрии.
Руководители отрасли неоднократно предупреждали, что фирмы должны установить механизмы защиты и обеспечить безопасность пользователей, прежде чем регуляторы вступят в силу и наложат собственные ограничения на индустрию.
Децентрализованная биржа Cetus подверглась взлому, что привело к убыткам на сумму 223 миллиона долларов
22 мая биржа Cetus подверглась взлому, что привело к убыткам пользователей на сумму 223 миллиона долларов в течение 24 часов.
Cetus и Sui Foundation также объявили о заморозке большей части украденных активов валидаторами сети Sui.
По данным команды Cetus, 163 миллиона долларов из 223 миллионов были заморожены валидаторами и партнерами экосистемы в тот же день, когда произошел взлом.
Реакция вызывает критику и обвинения в централизации
Решение о заморозке украденных средств вызвало неоднозначную реакцию в крипто-сообществе, при этом сторонники децентрализации раскритиковали валидаторов за вмешательство и контроль над цепочкой.
«Валидаторы Sui активно цензурируют транзакции во всей цепочке», — написал один пользователь здесь в X, вторя многим другим публикациям.
«Это полностью подрывает принципы децентрализации и превращает сеть всего лишь в централизованную базу данных с разрешениями», — продолжил автор публикации.
«Интересно, как многие Web3-проекты, поддерживаемые венчурными фондами, сильно полагаются на централизацию, несмотря на заимствование идеологии Bitcoin», — написал Стив Боуэр в публикации в X от 23 мая здесь.
