„Cetus Protocol“, didžiausias decentralizuotas mainas „SUI blockchain“, siūlo 6 mln.
Gegužės 22 d. Tolesniame pranešime kartu su pranešimu apie grandinę „Cetus“ komanda patvirtino, kad jie nustatė užpuoliko „Ethereum“ piniginę ir pasiūlė „Whitehat atsiskaitymą“, kad gautų vartotojų lėšas. Įsilaužėlių prašoma grąžinti 20 920 ETH ir visą „Frozen“ turtą su SUI (SUI) mainais už 2 324 ethereum (ETH), kurių vertė yra maždaug 6 mln. USD, ir imunitetas nuo teisinių veiksmų.
„Cetus“ teigė, kad tai yra laiko jautrus pasiūlymas ir kad jei lėšos yra nevaržomos ar sumaišytos, sandoris yra išjungtas. Komanda koordinuoja su teisėsauga, kibernetinių nusikaltimų specialistais, SUI fondu ir reguliavimo institucijomis, įskaitant Finceną ir JAV gynybos departamentą. Kibernetinio saugumo įmonė „INCA Digital“ veda derybų pastangas.
📜 Dear Sui community, thank you for your patience while our team works on the incident investigation and resolution.
Since taking the actions indicated in our previous announcement, we have also done the following:
1. We engaged the broader ecosystem, Sui team, and related… https://t.co/Gs1EWXZ6AD
— Cetus🐳 (@CetusProtocol) May 22, 2025
Pažeidimas išnaudojo „Cetus“ kainų nustatymo mechanizmo pažeidžiamumą ir paveikė jo koncentruoto likvidumo rinkos gamintojų baseinus. Užpuolikas panaudojo apgaulingus žetonus, kurie yra netikras ar mažos vertės turtas su manipuliuotais metaduomenimis, kad į prekybos telkinius būtų įšvirkšti mažyčiai likvidumo kiekiai.
Dėl tų baseinų vidinės apskaitos iškraipymo įsilaužėlis sugebėjo išimti nemažą kiekį vertingų žetonų, tokių kaip SUI ir USDc Coin (USDC), neteisingais valiutų kursais.
Užpuolikas apgavo sistemą manydamas, kad baseinai buvo subalansuoti kruopščiai nustatant šiuos apgaulingų prieigos raktų telkinius su sudėtingais blykstės apsikeitimo sandoriais ir manipuliavimu kainomis. Dėl to jie sugebėjo nutekinti didelį tikrąjį turtą nepateikdami lygiavertės vertės.
Pranešama, kad Cetusas prieš įsilaužimą priėmė naujausius saugumo auditus. Tačiau išnaudodamas vidinę kainų logiką ir ekonomines prielaidas, o ne į paprastas kodų klaidas, užpuoliko metodas išvengė tipiško pažeidžiamumo nuskaitymo.
Iš pradžių nuteikęs 11 milijonų dolerių iš SUI/USDC baseino, užpuolikas greitai sustiprino išpuolį. Jie sujungė daugiau nei 60 milijonų dolerių pavogtų lėšų „Ethereum“ ir nusipirko daugiau nei 21 900 ETH. Šiuo metu savo piniginėse jie turi milijonus SUI, ETH ir stabilių.
SUI ekosistema buvo smarkiai sugadinta išnaudojimo. Mažesni žetonai, tokie kaip „Axol“, „Hippo“ ir „Squirt“, prarado beveik visą savo vertę, o SUI žetonas sumažėjo net 15%. Cetus, „Cetus“ ženklas, sumažėjo 20–33%. Prekybos apimtys padidėjo, kai vartotojai skriejo išimdami lėšas.
„Cetus“ pristabdė intelektualiąsias sutartis po įsilaužimo ir bando užsitikrinti savo platformą. Incidentas kelia klausimų apie naujesnių tinklų, tokių kaip SUI ir Aptos (APT), DEFI protokolų saugumą. Nors šios ekosistemos siūlo naujoves, analitikai perspėja, kad sudėtingos defi logikos pažeidžiamumas išlieka nuolatinė rizika.
