Cetus Protocol sufre un exploit en un contrato inteligente

Durante la mañana del jueves 22 de mayo, Cetus Protocol conocido como el DEX (Descentralized Exchange) líder en la red Sui, sufrió un ataque debido a un exploit en uno de sus contratos inteligentes, identificado como una vulneración a la lógica de precios del protocolo.

El atacante logró robar un total de 223 millones de dólares al manipular una piscina de liquidez concentrada (CLMM, por sus siglas en inglés), utilizando tokens falsos como BULLA y MOJO para manipular los precios y así drenar pares reales como SUI/USDC. El protocolo bloqueó el contrato inteligente para evitar una pérdida mayor, mientras intervenía con diferentes actores del ecosistema para gestionar la crisis.

Esta decisión por parte de los validadores causó un revuelo en la red social de X, donde se discutió sobre la descentralización de la red y la seguridad del protocolo. Sin embargo, hay que destacar que los fondos fueron congelados para proteger a los usuarios.

La comunidad de validadores de la red actuaron para congelar 162 millones de dólares de los fondos robados. La Sui Foundation explicó cómo fue posible esto a través de un mecanismo de prueba de participación delegada (DPoS), donde más de un tercio de los validadores configuraron sus nodos a discreción para ignorar las transacciones de dos direcciones del atacante.

Además, el 23 de mayo, Cetus Protocol propuso una votación en cadena para implementar una actualización del protocolo, que devolvería los fondos congelados a los usuarios sin alterar el historial de la blockchain. Cabe destacar que la Sui Foundation apoyó la iniciativa, pero se abstuvo en la votación para mantenerse neutral y dejar que la comunidad decidiera el destino del suceso. También, exhortó a Cetus a comprometerse a usar todos sus recursos financieros para recuperar los fondos restantes, y resarcir a todos los clientes.

Actualmente Cetus Protocol se encuentra trabajando con Inca Digital, proveedores de seguridad y análisis para recuperar los 60 millones de dólares faltantes. Hubo un intento de negociar con el hacker, pero este no respondió a las propuestas y ofertas realizadas. A su vez, anunciaron una recompensa de 5 millones de dólares por información relevante que resulte en la identificación y arresto exitoso del atacante.

Si bien no fue un error en el código, el exploit por parte del atacante aprovechó las suposiciones económicas del protocolo para drenar los fondos. Por esta razón resulta importante la auditoría de contratos inteligentes y oráculos robustos que no sean fáciles de manipular.

En definitiva, el incidente resalta los desafíos de seguridad y descentralización que atraviesan los protocolos de finanzas descentralizadas y cómo la comunidad actúa para resolver estos sucesos.