Ranjivost u smart kontraktu za likvidnosne bazene omogućila je hakerima da ukradu oko 223 miliona dolara u virtuelnoj imovini sa kriptovalutne berze Cetus Protocol.
Incident se dogodio 22. maja i doveo do toga da Cetus odmah pauzira svoj smart kontrakt, ali ne prije nego što su hakeri uspjeli da iznesu i izvorne SUI tokene i druge tokene.
Napadači su iskoristili ranjivost u open-source biblioteci korišćenoj u smart kontraktu provajdera likvidnosti, manipulisali cijenama u bazenu i zatim ispumpali rezerve tokena, ponavljajući proces više puta, objašnjava Cetus u izvještaju nakon incidenta.
„Manipulacijom mehanizama tick i likvidnosti bazena, napadač je uspješno ispumpao značajan dio imovine kroz više iteracija eksploatacije“, navodi se.
Hakeri su prvo zamijenili USDT za USDC, dvije stabilne valute koje izdaju Tether i Circle, a zatim su sredstva premostili na Ethereum blokčejn i konvertovali ih u izvorni token, navodi firma za blokčejn analitiku Elliptic.
Cetus je identifikovao dvije SUI novčanike pod kontrolom napadača, kao i dvije Ethereum novčanike u kojima se nalazi dio ukradenih sredstava nakon konverzije.
Hakeri su ukrali približno 223 miliona dolara, ali je Cetus saopštio da je uspio da zamrzne 162 miliona dolara te imovine. Ovaj incident predstavlja drugi najveći kripto napad u ovoj godini, odmah iza Bybit incidenta vrijednog 1,5 milijardi dolara.
„Radimo sa Sui Fondacijom i ostalim članovima ekosistema na narednim koracima, sa ciljem povraćaja preostalih ukradenih sredstava“, saopštio je Cetus.
Firma je hakerima ponudila „whitehat nagodbu“: mogu zadržati 6 miliona dolara kao nagradu, ukoliko vrate ostatak ukradenih Ethereum i SUI sredstava.
Cetus navodi da sarađuje sa partnerima na planu oporavka, s ciljem da se što prije omogući povlačenje likvidnosti i ostale funkcionalnosti.
Kasno u ponedjeljak, berza je saopštila da ima planove koji bi u potpunosti nadoknadili izgubljena sredstva.
„Koristeći naša sredstva u gotovini i tokenima, sada smo u poziciji da u potpunosti pokrijemo ukradena sredstva koja su trenutno van lanca, ukoliko zamrznuta sredstva budu vraćena kroz predstojeće glasanje zajednice“, objavila je kompanija na mreži X. „Ovo uključuje i ključni zajam od Sui Fondacije, što omogućava 100% povraćaj za sve pogoađene korisnike.“
Izvor: SecurityWeek
