Cetus DEX在遭遇2.23亿美元漏洞攻击后发布事件复盘报告

Sui网络头部去中心化交易所Cetus针对5月22日其集中流动性做市池遭遇2.23亿美元漏洞攻击事件，现已发布详细的事后分析报告。

在5月26日的事件报告中，Cetus解释称此次攻击源于其智能合约使用的某个开源库存在漏洞。黑客利用该平台流动性管理系统的缺陷进行攻击——该系统负责控制用户如何向交易池添加和提取代币。

攻击者使用了一种称为闪电互换的功能，这是一种即时贷款，只要用户在同一笔交易中偿还代币即可借出代币。黑客通过闪电互换扭曲资金池价格，仅用少量代币添加虚假流动性，随后在多轮操作中提取大量真实代币，在此过程中掏空了多个资金池。

Cetus指出问题根源在于第三方代码库存在错误，系统对潜在溢出情况的检查存在缺陷，这意味着未能正确限制超大数值。

"该问题与此前审计中标记的MAX_U64算术错误无关，"Cetus澄清道，以回应社区疑问。"根本原因是左移溢出检查功能存在故障，错误地验证了超出安全限值的数值。"

Cetus团队在攻击发生10分钟内就检测到异常活动并迅速暂停交易。他们还联系了Sui(SUI)验证节点，后者投票冻结了攻击者的钱包。这一行动阻止了约1.62亿美元被盗资金转出网络，但其余资金已被跨链至以太坊(ETH)。

Cetus表示将重新审计合约、改进监控系统，并推出用户资金补偿计划。该平台正与生态合作伙伴制定流动性恢复方案，并敦促Sui验证节点支持旨在帮助用户追回资金的链上投票。

该事件导致Sui网络总锁仓价值从21.3亿美元降至约19.2亿美元。平台代币CETUS下跌40%，流动性短缺曾短暂导致美元稳定币USDC脱钩。

部分社区成员称赞Sui验证节点的快速响应，也有人担忧冻结钱包的能力表明其去中心化程度不足。Cetus已向黑客提出600万美元"白帽"赏金，邀请其归还资金、保留赏金并避免法律追诉。