پروتکل CETUS هک و سوء استفاده از آب: کل داستان پشت نقض 260 میلیون دلاری
پروتکل CETUS 260 میلیون دلار باعث هک کردن شد و چگونه سوء استفاده از آب به یک بحران زنجیره ای گسترش یافت؟
پروتکل Cetus با هک آخرین آب در سوءاستفاده 260 میلیون دلار حذف شده است
در تاریخ 22 ماه مه ، اصلی ترین ارائه دهنده نقدینگی و نقدینگی در مورد آب (SUI) بلاکچین دچار نقض امنیتی عمده پروتکل CETUS (CETUS) شد. این سوءاستفاده با 223 میلیون دلار با ایجاد بلافاصله وخیم شدن در فعالیت نقص در اکوسیستم آب خالی شد.
از زمان راه اندازی سال 2023 ، CETUS به بخش اساسی زیرساخت های SUI تبدیل شده است ، مبادله جتون را به شما ارائه می دهد و بیش از 62000 کاربر فعال و بیش از 7.15 میلیون دلار در هزینه معاملات روزانه کشاورزی را فراهم کرده است.
SUI ، علائم خانگی Blockchain Sui ، از 4،19 دلار به 4،19 دلار رسید که تقریباً 14 ٪ از این مقاله در 23 مه کاهش یافته است.
جت داخلی پروتکل آسیب دیده بلافاصله پس از تخلف از 0.26 دلار به 0.15 دلار سقوط کرد. قیمت فعلی 0.17 دلار فقط یک بازیابی جزئی است.
سکه های موجود در اکوسیستم گسترده تر با نوسانات مشابه واکنش نشان دادند. Lofı ، Hippo ، Squirt ، Slove و Memefi ، از جمله سینه های خاص Sui ، 51 ٪ تا 97 ٪ ضرر را دیده اند. اگرچه از آن زمان قیمت ها پایدار بوده است ، اما اعتماد به نفس سرمایه گذار متزلزل است.
در بین 15 دارایی برتر ذکر شده در CETUS ، بیش از 75 ٪ از کل ارزش حذف شد. برخی از نشانگرها مانند LBTC و Axolcoin دیدند که قیمت ها به صفر نزدیک می شوند.
اثر گسترده تر فراتر از قیمت سکه بود. ارزش کل SUI در هنگام نوشتن از 2.13 میلیارد دلار به 1.92 میلیارد دلار کاهش یافت و منعکس کننده انقباض در طی چند ساعت بود.
بگذارید درک کنیم که چگونه سوءاستفاده تحقق می یابد ، چه نقص ساختاری را نشان می دهد و چگونه پاسخ جامعه را آماده می کند.
هکر آب باعث تخلیه نقدینگی در پروتکل CETUS می شود
این تخلف با هدف پروتکل کتوس در ساعات اولیه 22 مه آغاز شد. 3:52 PT (11:52 UTC) ، مانیتورهای blockchain حرکات نامنظم در استخر نقدینگی آب/USDC را تشخیص دادند که در ابتدا به عنوان 11 میلیون دلار خروجی مشخص شد.
تحقیقات در حال انجام به سرعت دامنه را گسترش داده و نشان داد که کل خسارات موجود در استخرهای متعدد ممکن است حدود 260 میلیون دلار باشد.
این حمله به یک سیستم قرارداد هوشمند در پشت مکانیسم قیمت گذاری Cetus متمرکز شده است.
در اصل ، پروتکل مسئول تغذیه داده های قیمت واقعی به سیستم عامل برای ارائه تجارت عادلانه در بین سکه ها ، طراحی اوراکل بود. در این حالت ، اوراکل به عنوان نقطه ورودی سوءاستفاده خدمت کرده است.
آدرس کیف پول ، به عنوان “0xe28b50” ، سکه های تقلیدی توزیع شده مانند Bulla برای دستکاری منحنی های قیمت گذاری و تحریف تعادل ذخیره.
اگرچه این سکه ها نقدینگی واقعی بسیار کمی دارند ، اما از آنها برای ساخت منحنی معیارهای استخر داخلی استفاده می شود و باعث می شود دارایی های ارزشمندی مانند آب و USDC کافی به نظر برسد. پس از تکرار منطق قیمت گذاری ، مهاجم بدون کمک به ارزش متناسب ، سکه های واقعی را از استخرها گرفت.
تحلیلگران زینکلی از یک مهاجم پیروی کردند که حدود 63 میلیون دلار در USDC از اتریوم (ETH) به اتریوم (ETH) منتقل شد.
https://twitter.com/hackenclub/status/192578439722950865
داده های تحول نشان داد که 58.3 میلیون دلار به طور متوسط 2،658 دلار در هر معدن برای 21.938 ETH در هر سکه تغییر یافته است. نرخ اعدام ، که تخمین زده می شود در هر دقیقه حدود 1 میلیون دلار باشد ، به یک عملیات هماهنگ و از پیش برنامه ریزی شده اشاره دارد.
Cetus در ابتدا این مسئله را به عنوان “Oracle Bug Olan” خواند ، اصطلاحی که بلافاصله توسعه دهندگان و کارشناسان امنیتی را مورد بررسی قرار داد. مقیاس و حساسیت سوء استفاده باعث شک و تردید در مورد این قاب بندی شد.
پول cetus در معرض سوءاستفاده SUI
ریشه نقض CETUS یک خط کد مخرب نبود ، بلکه یک نقص ساختاری در مورد چگونگی مدیریت پروتکل مدیریت قیمت گذاری و منطق استخر بود.
Cetus بسته به داده های داده های استخر نقدینگی متمرکز برای ایجاد فیدهای قیمت واقعی از یک سیستم اوراکل داخلی استفاده کرد. هدف کاهش اعتماد به نفس در پیشگویی های بیرونی و محدود کردن آسیب پذیر در برابر دستکاری خارجی بود. اما با انجام این کار ، مکانیسم خطرات جدیدی را به همراه داشت.
آسیب پذیری بر عملکردهای “افزودن” ، “بلند کردن” و “مبادله” در قراردادهای هوشمند متمرکز است. این توابع برای محاسبه نسبت نشانگر و مقادیر استخر ایجاد شده است ، اما در تعامل با ارزش اقتصادی بسیار کمی یا اصلاً نتوانستند ورودی ها را به درستی تأیید کنند.
مهاجم با معرفی سکه های تقلیدی مانند Bulla ، که از ساختار موجودات مشروع تقلید می کند ، اما بدون نقدینگی واقعی یا تاریخچه قیمت گذاری ، از این شکاف استفاده کرد.
قرار دادن این سکه ها در استخر ، محاسبات خودکار را تحریف می کند که باعث می شود مقدار ارزش افزوده یا حذف شود ، و این امکان را برای دستکاری حسابداری داخلی پروتکل فراهم می کند.
با استفاده از این دارایی های جعلی ، مهاجم تقریباً نقدینگی واقعی را فراهم نکرد و مقدار قابل توجهی از آب و USDC را به صورت مصنوعی منتشر کرد.
شرکت های امنیتی سایبر این رویداد را به عنوان نمونه ای از دستکاری اوراکل طبقه بندی کردند ، جایی که طراحی داخلی پروتکل به آسیب پذیری خاص خود تبدیل شده است.
مقیاس آسیب در حجم فرآیند منعکس شد. فعالیت زنجیره ای در CETUS از 320 میلیون دلار به 22 ماه مه در 22 میلیارد دلار در تاریخ 22 ماه مه افزایش یافت که نشان می داد پس از شروع سوء استفاده ، چقدر سریع این وجوه انجام شده و تغییر کرده است.
زبان برنامه نویسی مورد استفاده برای ساخت بر روی آب شامل محافظت از ایمنی است که در برابر تهدیدهای سطح پایین مانند Reelencrant محافظت می کند. در این حالت ، شکست در لایه زبان رخ داده است.
قرارداد هوشمند مشکلی نبود. قراردادها به طور کامل آموزش داده شد – مشکل واقعی اجازه این دستورالعمل ها بود.
من فیلتر یا مراحل تأیید برای اطمینان از اینکه نشانگرهای CETUS با نقدینگی واقعی ممکن است بر قیمت گذاری تأثیر بگذارد ، نداشتم. هیچ اقدامی برای رد دارایی های بدون تأیید بازار انجام نشده است.
در حین ویندوزهای کوتاه ، هیچ پوشش روی انحراف قیمت اعمال نشده است ، و هنگامی که حجم شروع به افزایش می کند ، هیچ قطع کننده مدار برای مکث فعالیت غیر طبیعی وجود ندارد.
پس از ورود و تحریف سکه های تقلید در موتور قیمت گذاری ، بقیه سیستم دقیقاً همانطور که طراحی شده بودند تماشا کردند – در نتیجه ، سوء استفاده باعث شد که بدون مقاومت ظاهر شود.
Freeze Sui Hack ، شک و تردیدهای مرکزی در حال افزایش است
Metus به سرعت حرکت کرد تا پس از تشخیص سوء استفاده ، خسارت را وارد کند. عملیات قرارداد هوشمند در تاریخ 22 ماه مه ساعت 04:00 متوقف شد تا از خروج بیشتر از پروتکل جلوگیری شود.
اندکی پس از آن ، پس از گزارش رسمی X از پروژه ، وی این حادثه را پذیرفت و قول تحقیقات کامل را داد. از 23 مه ، پس از مرگ دقیق منتشر نشده است.
پاسخ گسترده تری در اکوسیستم آب وجود داشت. بنیاد SUI با هماهنگی با تأیید کننده ها و شرکای قفل ، آدرس های مهاجم را در لیست سیاه قرار داده و دارایی های سرقت شده حدود 162 میلیون دلار در شبکه آب را یخ زد.
https://twitter.com/cetusprotocol/status/19256734858686815622
تلاش برای بازپرداخت وجوه باقیمانده بین 60 میلیون تا 98 میلیون دلار با مشکل روبرو شده است. در USDC تقریباً 63 میلیون دلار تا 63 میلیون دلار تا 63 میلیون دلار از SUI پل شد و اندکی پس از سوء استفاده به 21.938 ETH تبدیل شد.
برای تشویق استرداد وجوه ، CETUS پیشنهاد کلاه سفید سفید 6 میلیون نفری را گسترش داد. این پیشنهاد ETH تبدیل شده را هدف قرار داده و یک شرط محکم را شامل می شود: تلاش برای شستشو یا رمپ این پیشنهاد را باطل می کند. از این پس ، به مهاجم پاسخی داده نشده است.
تلاش های نظارت حاوی چندین شرکت امنیتی سایبری و اندام های نظارتی بود. اینکا دیجیتال با حمایت قضایی هاکن و پکشیلد ، روند مذاکره را رهبری می کند.
بنیاد SUI همچنین با آژانس ها از جمله Fincen و وزارت دفاع ایالات متحده برای کشف گزینه های بهبودی و حقوقی اضافی هماهنگ شده است.
پشتیبانی مبادله مخلوط شد. بنیانگذار Binance ، چانگپنگ ژائو در X ابراز همبستگی کرد و تأیید کرد که Binance به هماهنگی بازیابی کمک می کند ، اما هیچ مداخله فنی یا انجماد حساب برای عموم توضیح داده نشده است.
We are doing what we can to help SUI. Not a pleasant situation. Hope everyone stay SAFU!
— CZ 🔶 BNB (@cz_binance) May 22, 2025
بستنی کیف پول بحث گسترده تری در مورد عدم تمرکز ایجاد کرد. چند کاربر در X تأکید کردند که تأیید کننده های آب برای جلوگیری از معاملات از آدرس های مهاجم و بیش از 160 میلیون دلار منجمد شده اند.
اگرچه در این مثال مؤثر است ، اما تأیید کنترل حرکت نگران این است که چقدر ورزش می تواند انجام شود.
منتقدین استدلال می کنند که چنین هماهنگی اصل عدم تمرکز را به چالش می کشد و سانسور با هدایت اعتبار سنج امکان پذیر است ، و در مورد اینکه آیا شبکه هایی مانند آب واقعاً غیر متمرکز هستند یا خیر ، شک می کند.
توضیحات: این مقاله نشان دهنده مشاوره سرمایه گذاری نیست. محتوا و مطالب موجود در این صفحه فقط برای اهداف آموزشی است.