За словами дослідників з Dedaub, злом протоколу Cetus AMM стався через недолік у системі, призначеній для захисту ключових параметрів смарт-контракту від «переповнення».
Зловмисник зміг створити позицію з шахрайським завищеним об'ємом, викликавши помилку через усічення старших бітів.
Для реалізації цієї стратегії він позичив 10 мільйонів haSUI через флеш-своп та відкрив величезну позицію. Замість значної кількості токенів, необхідної для транзакції, системі знадобився лише один токен.
Хакер скористався цією вразливістю, вивів активи через кілька транзакцій, повернув кредит haSUI та отримав чистий прибуток у розмірі 5,7 мільйона SUI. Експерти вважають, що він вміло розрахував необхідні значення, щоб спровокувати таку помилку.
Дедауб закликав розробників DeFi-протоколів бути обережними під час перевірки математичних операцій та проводити ретельне тестування.
«У DeFi крайні випадки — це не просто крайні випадки — вони представляють собою потенційні вектори атаки. Метадологічні механізми атаки (AMM) особливо вразливі, оскільки вони виконують складні математичні обчислення в екстремальних діапазонах. Злом Cetus ілюструє, що навіть «перевірені» операції повинні проходити ретельну перевірку», — заявили експерти.
Вони також наголосили на необхідності аудиту не лише існуючих проблем, а й рішень, які вже були впроваджені.
Після інциденту команда Cetus запропонувала винагороду в розмірі 6 мільйонів доларів за повернення викрадених активів. Станом на 23 травня жодного контакту з хакером не було встановлено, що спонукало розробників оголосити винагороду в розмірі 5 мільйонів доларів за допомогу в його пошуку та затриманні.
Нагадаємо, що криптовалютна біржа Coinbase повідомила, що в грудні 2024 року внаслідок витоку даних було скомпрометовано дані 69 461 користувача.
