앱으로
Cetus Protocol은 CLMM 스마트 계약에서 사용되는 오픈 소스 라이브러리의 결함을 악용한 공격자가 2억 2300만 달러를 털었다고 확인했습니다.
앞으로 Cetus는 엄격한 테스트, 확대된 감사 및 강화된 버그 바운티 프로그램을 통해 보안을 강화할 계획입니다.
지난 주 2억 2300만 달러를 당한 후 Sui 기반 탈중앙화 거래소인 Cetus Protocol은 스마트 계약에서 사용된 오픈 소스 라이브러리의 결함이 사용자 자금을 털었던 공격의 배후에 있다고 확인했습니다.
구체적으로, 공격은 플래시 스왑을 사용하여 수영장 가격을 조작하고 오버플로우 체크 오류를 악용하여 최소량의 토큰으로 인위적으로 큰 유동성 값을 주입하고 그리고 반복적으로 자산을 빼내어 자산을 털어냈습니다. 전체 사건 보고서에 따르면.
취약점은 inter_mate 라이브러리의 misapplied 정수 오버플로우 보호장치에서 비롯되었으며, 특히 checked_shlw 메소드에서 입력을 잘못된 256비트 제한이 아니라 192비트 제한에 대해 검증했기 때문에 팀은 설명했습니다. 이것은 검사되지 않은 유동성 주입을 허용하여 확장했다고,.
"최근 일부 사람들이 소셜 미디어에서 이전 감사 보고서에서 언급된 MAX_U64 체크에 플래그가 지정된 산술 오류 때문에 이 공격이 발생했다고 잘못 추정한 것을 명확히해야합니다." Cetus는 언급했습니다. "우리는 이 문제가 최근 공격과 아무 상관이 없다고 선언합니다."
Cetus의 사건 타임라인에 따르면, 공격이 시작된 지 30분 내에 핵심 CLMM 수영장이 비활성화되었습니다. 그 때 이미 약 2억 2300만 달러가 털려, 혼란 가운데 여러 Sui 기반 토큰들이 급락했습니다. 공격이 시작된 후 1시간 20분 만에, Sui 검증자들은 공격자의 주소로부터의 거래를 거부하기 위해 투표를 시작했으며, 투표가 총 지분의 33%를 넘으면, 약 1억 6200만 달러를 출금한 주소는 사실상 "동결"될 수 있었다고 Cetus는 밝히고습니다.
이는 Sui에서 해당 자금으로 거래할 수 없게 했기 때문에, 이것이 중앙 집중화 위험을 노출시킨다는 비판을 일으켰으나, 이와는 별개로, 약 6천만 달러가 이미 USDC로 전환되었고, 이더리움으로 브리징되었으며, ETH로 교환되었다고 이전에 온체인 분석가들이 언급했습니다.
취약한 계약은 나중에 수정되었고 업그레이드되었지만, 아직 완전히 다시 시작되지 않았습니다.
협상 및 버티스
Cetus와 데이터 분석 회사 Inca Digital은 공격자에게 20,920 ETH 및 공격자의 Sui 지갑에서 동결된 자금의 반환을 요청하며, 해결이 수락된다면, 추가적인 법적 또는 공개적 조치를 취하지 않겠다고했습니다.
Cetus는 공격자로부터 어떠한 통신도 받지 않았고, 팀은 이후 관련 정보에 대한 500만 달러의 바운티를 발표했습니다.
해커의 효과적인 식별과 체포에 대한 보상은 스이재단의 재량에 따라 결정됩니다.
동시에 케토스는 스이 커뮤니티에게 $162 밀리언 억동한 자금을 회수하고 그 정당한 소유주에게 반환하는 프로토콜 업그레이드를 지원해 달라고 요청했습니다. "이 결정은 단독으로 내릴 수 없습니다. 스이 커뮤니티의 이해관계에 가장 적합한 업그레이드인지 결정하기 위해 네트워크의 중요 참여자인 벨리데이터와 SUI 지지자를 포함한 온체인 투표를 제안합니다,"라고 말했습니다. "도난당한 자금을 회수하고 반환하고자 합니다만, 커뮤니티가 결정하는 것을 존중하겠습니다."
다음은 무엇입니까?
케토스는 구매 이후 스마트 계약 감사와 시스템 보안을 강화하는 데 큰 투자를 했으며, 여러 번의 검토와 널리 퍼진 개발자 채택이 충분한 보호를 제공한다고 믿었습니다. 그러나 최근의 약점을 인정했으며 이러한 안전감이 허위로 입증되었고 "더 많이 해야합니다"라고 말했습니다.
방어 능력을 강화하기 위해 케토스는 향상된 실시간 모니터링, 더 엄격한 리스크 관리 구성, 더 깊은 테스트 커버리지 및 더 자주, 주요 이벤트 기반의 검토를 시행하고 코드 커버리지 메트릭스의 공개 보고를 통해 더 큰 투명성을 약속하고 있습니다.
즉시, 케토스는 스이 보안팀과 감사 파트너들과 협력하여 업그레이드된 모든 계약을 재확인하고 CLMM 풀을 활성화하기 전에 고급 계획을 시행하고 있습니다. 케토스는 또한 생태계 파트너들과 협력하여 온체인 투표를 통해 사용자 자산을 반환하는 데 도움을 주기 위한 회수 계획을 준비하고 있습니다.
한편, 법률적 절차가 진행 중이지만, 케토스는 더 큰 손해 없이 자금을 회수하기 위해 공격자에게 화이트햇 제안을 연장했습니다. 곧 해커에게 최종 통지가 전달될 것이라고 말했습니다.
- 이전:
- 다음:
