Le protocole de Cetus perd 223 millions de dollars dans un exploit ciblant son mécanisme de tarification

La société d'analyse de la blockchain, Lookonchain, a révélé que l'attaquant a drainé plus de 260 millions de dollars du protocole.

Cetus Protocol, a decentralized exchange (DEX) operating on the Sui Network, has suspended its smart contract operations after a serious security breach, according to a report by Bitcoin.com.

CETUS Protocol, un échange décentralisé (DEX) opérant sur le réseau SUI, a suspendu ses opérations de contrat intelligent après une grave violation de sécurité, selon un rapport de Bitcoin.com.

The platform confirmed the exploit on May 22 through its official X account, noting that the shutdown was necessary to prevent further fund loss, stating,

La plate-forme a confirmé l'exploit le 22 mai via son compte officiel X, notant que la fermeture était nécessaire pour empêcher une nouvelle perte de fonds, en déclarant,

🚨Alert Announcement 🚨

ANNONCE DEALERT 🚨

There was an incident detected on our protocol and our smart contract has been paused temporarily for safety. The team is investigating the incident at the moment. A further investigation statement will be made soon. We are grateful for your patience.

Un incident a été détecté sur notre protocole et notre contrat intelligent a été interrompu temporairement pour la sécurité. L'équipe enquête sur l'incident pour le moment. Une autre déclaration d'enquête sera bientôt faite. Nous sommes reconnaissants de votre patience.

— Cetus (@CetusProtocol) May 22, 2023

- Cetus (@cetusprotocol) 22 mai 2023

The exploit, which has been widely discussed on social media, saw an attacker steal over $260 million from the protocol, according to blockchain analytics firm Lookonchain.

L'exploit, qui a été largement discuté sur les réseaux sociaux, a vu un attaquant voler plus de 260 millions de dollars du protocole, selon la société d'analyse de la blockchain, Lookonchain.

The stolen assets are reportedly being swapped into USDC and bridged to Ethereum, where they are exchanged for ETH.

Les actifs volés auraient été échangés dans l'USDC et se seraient réduits à Ethereum, où ils sont échangés contre ETH.

At the time of reporting, approximately $60 million in USDC had already been transferred across chains, Lookonchain reported.

Au moment du reportage, environ 60 millions de dollars en USDC avaient déjà été transférés à travers les chaînes, a rapporté Lookonchain.

The hacker stole about $260M from Cetus and is now swapping it to USDC and bridging it to Ethereum to exchange for ETH.

Le pirate a volé environ 260 millions de dollars à Cetus et l'échange maintenant vers USDC et le pontant à Ethereum pour échanger contre ETH.

The hacker has already bridged about $60M USDC to Ethereum.https://t.gov/uR7GV8jM8z

Le pirate a déjà comblé environ 60 millions de dollars USDC à Ethereum.https: //t.gov/ur7gv8jm8z

— Lookonchain (@Lookonchain) May 22, 2023

- Lookonchain (@lookonchain) 22 mai 2023

Data from DeFiLlama supports this, showing a steep drop in the platform’s total value locked (TVL), which fell by more than $200 million to around $75 million.

Les données de DeFillama le soutiennent, montrant une baisse abrupte de la valeur totale de la plate-forme verrouillée (TVL), qui a chuté de plus de 200 millions de dollars à environ 75 millions de dollars.

Meanwhile, Cetus Protocol’s native token, CETUS, plunged over 24% to $0.15 as of press time, according to CryptoSlate’s data.

Pendant ce temps, le Token natif de Cetus Protocol, Cetus, a plongé de plus de 24% à 0,15 $ à partir du temps de presse, selon les données de Cryptoslate.

The exploit also triggered a broader selloff in the Sui ecosystem, with seven out of 11 Sui-based tokens tracked by CryptoSlate registering losses of around 5% or more.

L'exploit a également déclenché une vente plus large dans l'écosystème SUI, avec sept jetons sur 11 SUI suivis par des pertes d'enregistrement de Cryptoslate d'environ 5% ou plus.

Rosco Kalis, the founder of Revoke Cash, pointed out:

Rosco Kalis, le fondateur de Recoke Cash, a souligné:

The stolen funds mostly belonged to the LPs of the DEX. But this also caused a lot of Sui token prices to crash, affected normal users as well. The SUI token itself seems to be holding up relatively fine so far though, only down slightly for the day. https://t.gov/b289BmM73j

Les fonds volés appartenaient principalement au LPS du dex. Mais cela a également provoqué un grand nombre de prix de jetons SUI, a également affecté les utilisateurs normaux. Le jeton SUI lui-même semble tenir relativement bien jusqu'à présent, mais légèrement pour la journée. https://t.gov/b289bmm73j

— Rosco Kalis (@RoscoKalis) May 22, 2023

- Rosco Kalis (@roscocalis) 22 mai 2023

How Cetus was exploited

Comment Cetus a été exploité

Early analysis suggests the exploit may be linked to a flaw in the protocol’s pricing mechanism.

Une analyse précoce suggère que l'exploit peut être lié à une faille dans le mécanisme de tarification du protocole.

Alex Horlan, CTO of web3 security firm HackenProof, explained that the attacker likely used a near-zero liquidity injection to manipulate the pools’ internal state. This allowed them to extract valuable SUI and USDC tokens without contributing real assets.

Alex Horlan, CTO de la société de sécurité Web3, Hackenproof, a expliqué que l'attaquant utilisait probablement une injection de liquidité près de zéro pour manipuler l'état interne des pools. Cela leur a permis d'extraire de précieux jetons SUI et USDC sans contribuer de véritables actifs.

He added that the team needs to:

Il a ajouté que l'équipe a besoin de:

Check the math behind addLiquidity, removeLiquidity, and swap functions — especially where they Compute token ratios, Round small values, and Handle tokens with decimals = 0.

Vérifiez les mathématiques derrière les fonctions d'addliquidité, de suppression et d'échange - en particulier où ils calculent les rapports de jetons, les petites valeurs rondes et la gestion des jetons avec des décimales = 0.

Earlier today, a member of the Cetus team posted to Discord that the platform was “not hacked, we’ve detected a bug in the oracle.” The general consensus among Crypto Twitter now appears to support oracle manipulation as the cause of the exploit.

Plus tôt dans la journée, un membre de l'équipe de CETUS a indiqué pour discorde que la plate-forme n'était «pas piratée, nous avons détecté un bogue dans l'Oracle». Le consensus général parmi Crypto Twitter semble désormais soutenir la manipulation d'Oracle comme la cause de l'exploit.

Cetus Protocol employs a dual approach to oracles within its ecosystem:

Le protocole de Cetus utilise une double approche des oracles dans son écosystème:

* Internal oracle via concentrated liquidity pools: Cetus’s concentrated liquidity pools serve as an on-chain oracle by providing real-time liquidity data and historical price information. This mechanism allows external developers and platforms to access accurate market data derived directly from actual trading activities, reducing reliance on off-chain data sources, and is supposed to minimize risks associated with oracle manipulation.

* Oracle interne via des pools de liquidité concentrés: les pools de liquidité concentrés de Cetus servent d'oracle en chaîne en fournissant des données de liquidité en temps réel et des informations sur les prix historiques. Ce mécanisme permet aux développeurs et plateformes externes d'accéder aux données précises du marché dérivées directement des activités de trading réelles, réduisant la dépendance à l'égard des sources de données hors chaîne et est censé minimiser les risques associés à la manipulation d'Oracle.

* Integration with Pyth Network: Cetus contributes its decentralized exchange (DEX) price data to the Pyth Network, a decentralized oracle solution.

* Intégration avec Pyth Network: Cetus contribue à ses données de prix d'échange décentralisé (DEX) au réseau Pyth, une solution Oracle décentralisée.

As of press time, Pyth Network has not commented on the incident, so it is unclear whether the pricing issue originated from the on-chain oracles or Pyth.

Au moment de la presse, Pyth Network n'a pas commenté l'incident, il n'est donc pas clair si le problème de tarification est provenant des oracles sur chaîne ou du Pyth.

Despite the unsavoury incident, the project has received support from the broader crypto community. Binance founder and former CEO Changpeng Zhao noted that his team has reached out to help Cetus resolve the situation.

Malgré l'incident peu recommandable, le projet a reçu le soutien de la communauté cryptographique plus large. Le fondateur et ancien PDG de Binance, Changpeng Zhao, a noté que son équipe avait contacté pour aider Cetus à résoudre la situation.

The post Cetus Protocol suspends smart contract operations after $223 million exploit appeared first on Chain Brief.

Le protocole post-CETUS suspend les opérations de contrat intelligent après que 223 millions de dollars d'exploits soient apparus en premier sur Chain Brief.

Continue reading on Chain Brief

Continuez à lire sur Chain Brief