CETUT Protocole Smart Contrat exploité pour vider 223 millions de dollars de jetons SUI

Un pirate qui a exploité des vulnérabilités dans le contrat intelligent du protocole de Cetus pour drainer 223 millions de dollars de jetons SUI a déjà déplacé près d'un tiers des fonds volés à Ethereum.

A hacker who exploited vulnerabilities in the Cetus Protocol’s smart contract to drain $223 million worth of SUI tokens has already moved nearly a third of the stolen funds to Ethereum.

Un pirate qui a exploité des vulnérabilités dans le contrat intelligent du protocole de Cetus pour drainer 223 millions de dollars de jetons SUI a déjà déplacé près d'un tiers des fonds volés à Ethereum.

The stolen funds were converted to USDC before being bridged to Ethereum and exchanged for ETH, according to blockchain analyst Lookonchain.

Les fonds volés ont été convertis en USDC avant d'être comblés à Ethereum et échangés contre ETH, selon l'analyste de la blockchain Lookonchain.

Ethereum is the only chain with large enough mixers, like Tornado Cash and Thorchain, to launder stolen funds measured in the hundreds of millions of dollars.

Ethereum est la seule chaîne avec des mélangeurs suffisamment grands, comme la tornado en espèces et Thorchain, pour blanchir des fonds volés mesurés dans des centaines de millions de dollars.

Extractor, an online monitoring tool developed by cybersecurity firm Hacken, posted on X that “at least $63m was already bridged to Ethereum, 20k ETH was just transferred to a fresh wallet” in a single transaction. That 20,000 ETH is worth about $53 million.

Extracteur, un outil de surveillance en ligne développé par la société de cybersécurité Hacken, a publié sur X selon lequel «au moins 63 millions de dollars ont déjà été comblés à Ethereum, 20k eth a été transféré dans un nouveau portefeuille» en une seule transaction. Ce 20 000 ETH vaut environ 53 millions de dollars.

In an X post, Cetus said that the remaining $162 million of compromised funds have been paused, and they are “actively pursuing paths to recover the remainder.”

Dans un post X, Cetus a déclaré que les 162 millions de dollars restants de fonds compromis avaient été interrompus et qu'ils «poursuivent activement des voies pour récupérer le reste».

It added that “a large number of validators identified the addresses with the stolen funds and are ignoring transactions on those addresses until further notice.”

Il a ajouté que «un grand nombre de validateurs ont identifié les adresses avec les fonds volés et ignorent les transactions sur ces adresses jusqu'à nouvel ordre.»

Cetus declined to comment beyond their X posts when reached by The Defiant, but promised a full incident report would be forthcoming.

Cetus a refusé de commenter au-delà de leurs messages X lorsqu'ils sont atteints par le Defiant, mais ont promis qu'un rapport d'incident complet serait à venir.

Liquidity Pools Drained

Les piscines de liquidité drainées

As the largest decentralized exchange on Sui, the loss of Cetus’ liquidity has reverberated across the Sui ecosystem, with many memecoins down by as much as 90%. DexScreener shows SQUIRT is down 92% and HIPPO is down 80%, and several dozen are down at least double digits. Cetus’s own CETUS token is down 42%.

En tant que plus grand échange décentralisé sur SUI, la perte de la liquidité de Cetus s'est répercutée à travers l'écosystème SUI, avec de nombreuses mecoins à 90%. Dexscreener montre que Squirt est en baisse de 92% et Hippo est en baisse de 80%, et plusieurs dizaines sont en baisse au moins deux chiffres. Le propre jeton Cetus de Cetus est en baisse de 42%.

Remarkably, the SUI token is flat on the day at $3.88 despite the exploit.

Remarquablement, le jeton SUI est plat le jour à 3,88 $ malgré l'exploit.

According to an X post, Cetus insiders said in the project’s Discord channel that there was a bug in the oracle.

Selon un X Post, Cetus Insiders a déclaré dans la chaîne Discord du projet qu'il y avait un bug dans l'Oracle.

Blockchain security firm Cyvers also said on X that the “initial reports show that it seems to be an oracle issue.”

La société de sécurité de la blockchain Cyvers a également déclaré sur X que les «rapports initiaux montrent que cela semble être un problème d'Oracle».

Alex Horkan, CTO of Web3 bug bounty platform, said in an X post that the likely path of the exploiter was to swap in a spoof token, “taking advantage of miscalculated price curve or broken reserve math.”

Alex Horkan, CTO de la plate-forme Bounty Bugy de Web3, a déclaré dans un post X que le chemin probable de l'Exploiteur était d'échanger un jeton usurpé, "profitant de la courbe de prix mal calculée ou des mathématiques de réserve cassée".

They then added liquidity in “near-zero” amounts to manipulate the internal liquidity provider state or initialize a fake pair, and then repeatedly remove liquidity, exploiting a mismatch in accounting to drain SUI and USDC stablecoins without providing any assets back in return.

Ils ont ensuite ajouté de la liquidité dans «quasi zéro» équivaut à manipuler l'état du fournisseur de liquidités internes ou à initialiser une fausse paire, puis à retirer à plusieurs reprises la liquidité, exploitant une inadéquation en comptabilité pour vider les stablescoins SUI et USDC sans fournir aucun actif en retour.

This is the latest in a series of exploits this year, led by the $1.5 billion ByBit hack in February, the largest hack on record.

Il s'agit du dernier d'une série d'exploits cette année, dirigée par le piratage de 1,5 milliard de dollars en février, le plus grand hack jamais enregistré.