Критическая ошибка в коде криптовалютной платформы привела к взлому Cetus и потере $223 млн

В ночь на 22 мая на децентрализованную биржу Cetus, работающую в сети Sui, была совершена одна из самых масштабных хакерских атак в истории DeFi. Согласно отчёту компании Dedaub, специализирующейся на блокчейн-безопасности, причиной стала критическая ошибка в логике автоматизированного маркетмейкера – в частности, в проверке так называемого «переполнения» чисел.

Как объясняют аналитики, уязвимость возникла из-за некорректной обработки чрезмерно больших числовых значений. Вместо того чтобы отклонять такие значения, система «обрезала» их, воспринимая как значительно меньшие. В результате злоумышленник смог внести в пул всего один токен, а протокол ошибочно засчитал ему гигантскую позицию ликвидности, которую он быстро обменял на реальные активы.

Уязвимость, как выяснилось, была известна ещё с начала 2023 года, когда специалисты Ottersec обнаружили её во время аудита кода для сети Aptos. Однако после переноса протокола в блокчейн Sui проблема осталась – защитные механизмы оказались недостаточно надёжными.

«Этот случай – яркое предупреждение для разработчиков: даже незначительные математические ошибки могут обернуться катастрофой», – подчеркнули в Dedaub.

Они призывают к тщательному ручному тестированию критически важных функций, особенно при работе с большими числами.

Взлом вызвал стремительное падение цен: токены CETUS и SUI потеряли более 40% стоимости, а мелкие монеты в сети Sui подешевели до 90%.

Фонд Sui в ответ заблокировал около $163 миллионов украденных средств при участии валидаторов. Кроме того, команда Cetus объявила вознаграждение в $5 миллионов за информацию, которая поможет выйти на след злоумышленника.

Инцидент стал серьёзным ударом по доверию к экосистеме Sui и ещё раз подчеркнул – в сфере DeFi нет места даже мелким ошибкам.