Техническая брешь
Ключевой уязвимостью оказалась библиотека, обрабатывающая данные по ценовым диапазонам (CLMM). В одной из функций разработчики недосмотрели за переполнением целых чисел. Атакующий смог «нарисовать» избыточные резервы, а затем снять из контракта уже настоящие токены. Особую роль сыграл тот факт, что контракт позволял проводить длинную цепочку действий в рамках одной транзакции — без дополнительных проверок состояния пула.
Что удалось спасти
Сработала быстрая реакция валидаторов Sui: почти сразу после обнаружения аномалии они приостановили часть подозрительных транзакций, заморозив порядка 163 миллионов долларов. Оставшиеся 60 миллионов хакер успел увести, конвертировав часть в ETH.
Действия команды Cetus
- Подробный пост-мортем. Разработчики оперативно рассказали, где именно допустили ошибку, и пообещали новый аудит кода.
- План компенсаций LP. Основной приоритет — покрыть убытки поставщиков ликвидности. Обсуждается схема частичного возмещения из фонда безопасности Sui.
- Перезапуск пулов. Контракты вернут в работу только после повторного аудита Halborn и тестирования в отдельной сети с жёсткими лимитами.
Реакция рынка
Новости о взломе мгновенно продавили цену SUI ниже 3,50 $, но сообщение о заморозке большей части средств и плане компенсаций вернуло токену большую часть утраченных позиций. Совокупный TVL сети просел примерно на 18 %.
Уроки инцидента
- Сторонний код тоже нужно пересматривать. Открытая библиотека — не гарантия безопасности, если её никто не ревизирует перед каждым апдейтом.
- Лимиты на операции спасают от сложных атак. Один контракт — один критический шаг; длинные атомарные цепочки — подарок для хакеров.
- Он-чейн-мониторинг должен быть круглосуточным. Заморозить две трети похищенного вышло лишь благодаря мгновенному алерту и координации валидаторов.
Что дальше
- В начале июня валидаторы Sui проголосуют за то, как распределить замороженные токены между пострадавшими.
- Перезапуск пулов Cetus состоится только после независимого аудита и внедрения лимитов на объём вывода.
- Команда уже сотрудничает с биржами и аналитическими фирмами, чтобы отследить оставшиеся средства и подготовить гражданский иск.
Итог
История Cetus напоминает: даже блокчейны «следующего поколения» уязвимы к классическим ошибкам. Пока разработчики соревнуются в скорости релизов и функций, базовая математика остаётся ахиллесовой пятой децентрализованных протоколов. Пользователям же стоит распределять ликвидность между разными площадками и смотреть не только на доходность APR, но и на частоту свежих аудитов.
