• Bitcoin Bitcoin BTC $88.416,72
    0.93%
  • Ethereum Ethereum ETH $1.625,70
    1.31%
  • Tether Tether USDT $1,00
    0.52%
  • XRP XRP $2,10
    1.75%
  • BNB BNB $606,10
    0.16%
  • USDC USDC USDC $1,00
    0.03%
  • Solana Solana SOL $139,61
    0.62%
  • TRON TRON TRX $0,25
    1.39%
  • Dogecoin Dogecoin DOGE $0,16
    1.05%
  • Cardano Cardano ADA $0,63
    1.77%
  • Lido Staked ETH STETH $1.622,85
    1.33%
  • Wrapped Bitcoin Wrapped Bitcoin WBTC $87.923,05
    1.4%
  • UNUS SED LEO LEO $9,16
    2.73%
  • Chainlink Chainlink LINK $13,33
    1.99%
  • Toncoin TON $2,93
    3.74%
  • Avalanche AVAX $20,26
    2.66%
  • Stellar Stellar XLM $0,25
    4.8%
  • Shiba Inu Shiba Inu SHIB $0,00
    1.4%
  • Hedera Hedera HBAR $0,17
    0.2%
  • Sui Sui SUI $2,31
    2.75%
  • Mantra OM $0,63
    9.05%
  • Dai DAI $1,00
    0.27%
  • Bitcoin Cash Bitcoin Cash BCH $347,86
    1.55%
  • Litecoin Litecoin LTC $79,94
    1.22%
  • Polkadot Polkadot DOT $3,77
    4.85%
  • Ethena USDe Ethena USDe USDE $1,00
    0.01%
  • Bitcoin BEP2 BTCB $88.226,21
    0.96%
  • Bitget Token BGB $4,45
    0.55%
  • Wrapped ETH Wrapped ETH WETH $1.630,40
    1.6%
  • Hyperliquid Hyperliquid HYPE $18,28
    0.65%
  • Pi PI $0,63
    0.91%
  • Monero Monero XMR $217,40
    0.49%
  • OKB OKB OKB $50,91
    0.28%
  • Uniswap Uniswap UNI $5,37
    1.81%
  • Pepe Pepe PEPE $0,00
    3.09%
  • Aptos Aptos APT $4,85
    7.03%
  • Ondo Ondo ONDO $0,86
    3.24%
  • Near Protocol NEAR $2,20
    5.03%
  • Mantle Mantle MNT $0,66
    1.18%
  • Internet Computer Internet Computer ICP $4,69
    6.07%
  • Cronos CRO $0,08
    2.11%
  • Ethereum Classic Ethereum Classic ETC $15,64
    3.59%
  • Aave Aave AAVE $147,53
    1.35%
  • First Digital USD First Digital USD FDUSD $1,00
    -0%
  • GateToken GT $23,19
    0.45%
  • POL (prev. MATIC) POL (prev. MATIC) POL $0,22
    11.25%
  • VeChain VeChain VET $0,02
    3.36%
  • Bittensor Bittensor TAO $325,32
    0.93%
  • Cosmos Cosmos ATOM $4,09
    4.59%
  • Ethena Ethena ENA $0,29
    2.38%
  • Kaspa Kaspa KAS $0,09
    7.25%
  • Render RENDER $4,37
    2.64%
  • Trump Official Trump Official TRUMP $8,45
    1.44%
  • Filecoin Filecoin FIL $2,53
    5.78%
  • Algorand Algorand ALGO $0,19
    5%
  • Celestia Celestia TIA $2,54
    3.02%
  • DeXe DEXE $14,61
    4.93%
  • Arbitrum Arbitrum ARB $0,30
    4.04%
  • KuCoin Token KCS $9,95
    0.52%
  • Sonic (prev. FTM) S $0,48
    2.97%
  • Story IP $3,63
    2.55%
  • Maker Maker MKR $1.385,15
    1.52%
  • EOS EOS EOS $0,64
    2.25%
  • XDC Network XDC $0,07
    0.82%
  • Optimism OP $0,70
    4.29%
  • Artificial Superintelligence Alliance FET $0,59
    1.97%
  • Jupiter JUP $0,41
    1.19%
  • Wrapped BNB WBNB $630,12
    24.93%
  • Stacks STX $0,75
    5.46%
  • PayPal USD PYUSD $1,00
    0.01%
  • Worldcoin WLD $0,79
    0.57%
  • Usual USD USD0 $1,00
    0.01%
  • Four FORM $2,08
    0.31%
  • Bonk BONK $0,00
    0.92%
  • Tether Gold XAUT $3.479,87
    1.74%
  • Movement MOVE $0,24
    1.42%
  • Quant QNT $67,36
    0.01%
  • Theta Network THETA $0,63
    6.97%
  • The Graph The Graph GRT $0,08
    2.53%
  • Injective Injective INJ $8,55
    4.81%
  • Flare FLR $0,02
    2%
  • Sei SEI $0,18
    0.56%
  • Immutable X Immutable X IMX $0,46
    5.28%
  • PAX Gold PAX Gold PAXG $3.481,49
    1.89%
  • Nexo NEXO $1,06
    1.57%
  • Tezos XTZ $
    %
  • Curve DAO Token Curve DAO Token CRV $0,61
    2.39%
  • The Sandbox The Sandbox SAND $0,27
    4.68%
  • Lido DAO Lido DAO LDO $0,73
    2.53%
  • Kaia KAIA $0,11
    6.19%
  • Gala Gala GALA $0,02
    3.31%
  • Zcash ZEC $
    %
  • BitTorrent [New] BTTOLD $0,00
    0.79%
  • IOTA IOTA $0,17
    0.96%
  • Fartcoin FARTCOIN $1,06
    18.21%
  • PancakeSwap CAKE $1,95
    3.48%
  • Bitcoin SV BSV $29,28
    0.62%
  • JasmyCoin JASMY $0,01
    4.65%
  • Flow Flow FLOW $0,37
    1.45%
  • Jito JTO $
    %
  • Raydium Raydium RAY $2,34
    3.15%
  • Helium HNT $3,43
    2.2%
  • Onyxcoin XCN $0,02
    7.35%
  • FLOKI FLOKI $0,00
    1.86%
  • Decentraland Decentraland MANA $0,30
    5.93%
  • Telcoin TEL $0,01
    4.08%
Coinlabs Logo

Cetus DEX: il post-mortem dopo l'attacco da 223M $

Tempo di lettura 4 min
Serena Bianchi
Di Serena Bianchi
Cetus DEX: il post-mortem dopo l'attacco da 223M $

Un errore nella verifica dei limiti numerici ha spalancato le porte ad uno degli attacchi hacker più devastanti nel panorama delle criptovalute del 2023. Cetus, exchange decentralizzato leader sulla blockchain Sui, è stato vittima di un exploit da 223 milioni di dollari che ha scosso l'intero ecosistema. La piattaforma, che ha reagito tempestivamente bloccando le operazioni e congelando parte dei fondi sottratti, ha pubblicato un'analisi dettagliata dell'incidente avvenuto il 22 maggio, rivelando come una vulnerabilità in una libreria open-source abbia permesso all'attaccante di manipolare i pool di liquidità attraverso un sofisticato schema di prestiti istantanei.

Anatomia di un colpo da 223 milioni

Il report post-mortem pubblicato il 26 maggio rivela la strategia utilizzata dall'hacker: sfruttando i "flash swap" – prestiti istantanei che permettono di prendere in prestito token a condizione di restituirli nella stessa transazione – l'attaccante è riuscito a manipolare artificialmente i prezzi nei pool di liquidità. Questo ha permesso di aggiungere liquidità fittizia utilizzando un numero esiguo di token per poi prelevare ingenti quantità di asset reali in più cicli consecutivi.

La causa principale dell'attacco non era legata a un bug aritmetico MAX_U64 precedentemente segnalato in audit passati, come inizialmente ipotizzato da alcuni membri della community. Il problema fondamentale risiedeva invece in un controllo difettoso del left-shift overflow, che non riusciva a validare correttamente valori oltre i limiti di sicurezza consentiti nella libreria di codice di terze parti utilizzata nei contratti intelligenti della piattaforma.

La tecnologia blockchain, spesso celebrata per la sua sicurezza, rivela ancora una volta come piccoli errori possano causare danni finanziari enormi.

Reazione immediata e congelamento dei fondi

La risposta all'attacco è stata relativamente rapida. Il team di Cetus ha individuato attività sospette entro dieci minuti dall'inizio dell'exploit e ha immediatamente sospeso le operazioni di trading. Un aspetto cruciale della gestione dell'emergenza è stato il coinvolgimento dei validatori della rete Sui, che hanno votato per congelare i wallet dell'attaccante, impedendo così il trasferimento di circa 162 milioni di dollari.

Nonostante la tempestività dell'intervento, una parte significativa del bottino – circa 61 milioni di dollari – era già stata trasferita sulla blockchain di Ethereum attraverso ponti cross-chain, rendendo praticamente impossibile il loro recupero attraverso meccanismi di governance della rete Sui. Questo aspetto evidenzia una delle maggiori criticità dell'interoperabilità tra blockchain diverse: l'impossibilità di estendere misure di sicurezza emergenziali oltre i confini della propria rete.

Conseguenze sull'ecosistema e dibattito sulla decentralizzazione

L'incidente ha avuto ripercussioni immediate sull'intero ecosistema Sui. Il valore totale bloccato (TVL) sulla rete è sceso da 2,13 miliardi a circa 1,92 miliardi di dollari. Il token CETUS ha subito un crollo del 40%, mentre la perdita di liquidità ha temporaneamente fatto perdere l'ancoraggio al dollaro dell'USDC all'interno dell'ecosistema.

La decisione di congelare i wallet dell'attaccante ha acceso un acceso dibattito nella comunità crypto. Se da un lato molti utenti hanno apprezzato la rapida risposta dei validatori Sui che ha permesso di salvare gran parte dei fondi, dall'altro numerosi puristi della decentralizzazione hanno criticato questa capacità di intervento centralizzato, sostenendo che mina i principi fondamentali della tecnologia blockchain.

Piano di recupero e mano tesa all'hacker

Cetus ha delineato una roadmap per il futuro che include un nuovo audit completo dei propri contratti, miglioramenti significativi ai sistemi di monitoraggio e un piano per aiutare gli utenti a recuperare i fondi perduti. La piattaforma sta inoltre collaborando con altri partner dell'ecosistema per sviluppare un piano di ripristino della liquidità.

In un approccio pragmatico che richiama strategie simili adottate in altri grandi hack del settore, Cetus ha anche teso una mano all'attaccante, offrendo una taglia "white hat" di 6 milioni di dollari in cambio della restituzione dei fondi sottratti, con la promessa di evitare azioni legali. Una strategia che riconosce implicitamente la difficoltà di recuperare asset crypto una volta che questi hanno lasciato la blockchain di origine.

Il caso Cetus rappresenta l'ennesimo promemoria di come, nonostante i progressi nella sicurezza degli smart contract, il settore DeFi rimanga vulnerabile a errori di programmazione che possono costare centinaia di milioni di dollari. Allo stesso tempo, dimostra come la capacità di risposta coordinata all'interno di un ecosistema possa mitigare, almeno parzialmente, i danni di attacchi di questa portata.

Disclaimer

I contenuti di CoinLabs sono forniti esclusivamente a scopo informativo ed educativo e non costituiscono in alcun modo consulenza finanziaria o raccomandazioni di investimento; il mercato delle criptovalute comporta rischi significativi e si consiglia di consultare un consulente finanziario qualificato prima di prendere qualsiasi decisione di investimento.