Un errore nella verifica dei limiti numerici ha spalancato le porte ad uno degli attacchi hacker più devastanti nel panorama delle criptovalute del 2023. Cetus, exchange decentralizzato leader sulla blockchain Sui, è stato vittima di un exploit da 223 milioni di dollari che ha scosso l'intero ecosistema. La piattaforma, che ha reagito tempestivamente bloccando le operazioni e congelando parte dei fondi sottratti, ha pubblicato un'analisi dettagliata dell'incidente avvenuto il 22 maggio, rivelando come una vulnerabilità in una libreria open-source abbia permesso all'attaccante di manipolare i pool di liquidità attraverso un sofisticato schema di prestiti istantanei.
Anatomia di un colpo da 223 milioni
Il report post-mortem pubblicato il 26 maggio rivela la strategia utilizzata dall'hacker: sfruttando i "flash swap" – prestiti istantanei che permettono di prendere in prestito token a condizione di restituirli nella stessa transazione – l'attaccante è riuscito a manipolare artificialmente i prezzi nei pool di liquidità. Questo ha permesso di aggiungere liquidità fittizia utilizzando un numero esiguo di token per poi prelevare ingenti quantità di asset reali in più cicli consecutivi.
La causa principale dell'attacco non era legata a un bug aritmetico MAX_U64 precedentemente segnalato in audit passati, come inizialmente ipotizzato da alcuni membri della community. Il problema fondamentale risiedeva invece in un controllo difettoso del left-shift overflow, che non riusciva a validare correttamente valori oltre i limiti di sicurezza consentiti nella libreria di codice di terze parti utilizzata nei contratti intelligenti della piattaforma.
Reazione immediata e congelamento dei fondi
La risposta all'attacco è stata relativamente rapida. Il team di Cetus ha individuato attività sospette entro dieci minuti dall'inizio dell'exploit e ha immediatamente sospeso le operazioni di trading. Un aspetto cruciale della gestione dell'emergenza è stato il coinvolgimento dei validatori della rete Sui, che hanno votato per congelare i wallet dell'attaccante, impedendo così il trasferimento di circa 162 milioni di dollari.
Nonostante la tempestività dell'intervento, una parte significativa del bottino – circa 61 milioni di dollari – era già stata trasferita sulla blockchain di Ethereum attraverso ponti cross-chain, rendendo praticamente impossibile il loro recupero attraverso meccanismi di governance della rete Sui. Questo aspetto evidenzia una delle maggiori criticità dell'interoperabilità tra blockchain diverse: l'impossibilità di estendere misure di sicurezza emergenziali oltre i confini della propria rete.
Conseguenze sull'ecosistema e dibattito sulla decentralizzazione
L'incidente ha avuto ripercussioni immediate sull'intero ecosistema Sui. Il valore totale bloccato (TVL) sulla rete è sceso da 2,13 miliardi a circa 1,92 miliardi di dollari. Il token CETUS ha subito un crollo del 40%, mentre la perdita di liquidità ha temporaneamente fatto perdere l'ancoraggio al dollaro dell'USDC all'interno dell'ecosistema.
La decisione di congelare i wallet dell'attaccante ha acceso un acceso dibattito nella comunità crypto. Se da un lato molti utenti hanno apprezzato la rapida risposta dei validatori Sui che ha permesso di salvare gran parte dei fondi, dall'altro numerosi puristi della decentralizzazione hanno criticato questa capacità di intervento centralizzato, sostenendo che mina i principi fondamentali della tecnologia blockchain.
Piano di recupero e mano tesa all'hacker
Cetus ha delineato una roadmap per il futuro che include un nuovo audit completo dei propri contratti, miglioramenti significativi ai sistemi di monitoraggio e un piano per aiutare gli utenti a recuperare i fondi perduti. La piattaforma sta inoltre collaborando con altri partner dell'ecosistema per sviluppare un piano di ripristino della liquidità.
In un approccio pragmatico che richiama strategie simili adottate in altri grandi hack del settore, Cetus ha anche teso una mano all'attaccante, offrendo una taglia "white hat" di 6 milioni di dollari in cambio della restituzione dei fondi sottratti, con la promessa di evitare azioni legali. Una strategia che riconosce implicitamente la difficoltà di recuperare asset crypto una volta che questi hanno lasciato la blockchain di origine.
Il caso Cetus rappresenta l'ennesimo promemoria di come, nonostante i progressi nella sicurezza degli smart contract, il settore DeFi rimanga vulnerabile a errori di programmazione che possono costare centinaia di milioni di dollari. Allo stesso tempo, dimostra come la capacità di risposta coordinata all'interno di un ecosistema possa mitigare, almeno parzialmente, i danni di attacchi di questa portata.