Cetus Protocol'deki Kritik Açık, 223 Milyon Dolarlık Kayba Neden Oldu

Cetus Protocol'ün otomatik piyasa yapıcı (AMM) mantığındaki kritik bir taşma açığı, 223 milyon dolarlık bir kayba neden oldu. Dedaub tarafından yapılan bir incelemeye göre, bu açık, büyük sayısal girdilerin en önemli bitlerini doğru bir şekilde yönetmede başarısız olan, hatalı yazılmış bir koşuldan kaynaklanıyordu. Bu durum, sistemin büyük değerleri reddetmek yerine kesmesine ve çıktının olması gerekenden çok daha küçük görünmesine yol açtı.

Bu durum, saldırganın sadece bir token yatırmasına izin verirken, protokolün yanlışlıkla onlara büyük bir likidite pozisyonu atfetmesine neden oldu. Saldırganlar daha sonra bu pozisyonu, havuzlardan büyük miktarda gerçek varlık çekmek için kullandı. Dedaub'a göre, benzer bir güvenlik açığı, 2023'ün başlarında Ottersec tarafından protokolün Aptos'a konuşlandırılması sırasında yapılan bir denetimde tespit edilmişti. Ancak, kod daha sonra Sui ağına taşındığında, temel sorun devam etti. Geliştiriciler koruma önlemleri uygulamaya çalışsa da, taşma kontrolü kusurluydu ve aynı türden bir istismarın fark edilmeden geçmesine izin verdi.

Bu olay, DeFi'deki kenar durumlarının neden göz ardı edilemeyeceğini gösteriyor. Dedaub, merkeziyetsiz finansman (DeFi)'daki karmaşık matematiğin dikkatli bir inceleme ve test gerektirdiğini belirtti ve geliştiricileri, özellikle büyük sayılar veya gelişmiş matematik kullanırken, taşma korumasını manuel olarak doğrulamaya çağırdı. SUI ağındaki önde gelen bir DEX olan Cetus, 22 Mayıs'ın erken saatlerinde hacklendi ve bugüne kadar Sui ekosistemindeki en büyük kayıplardan birini tetikledi. İlk araştırmalar, olayın bir "oracle hatasından" kaynaklandığını iddia ediyordu. Bu istismar, çeşitli likidite havuzlarında 223 milyon doların üzerinde bir kayba yol açtı ve SUI ve CETUS dahil olmak üzere ilgili tokenlarda geniş çaplı bir satış dalgasını tetikledi. Ağdaki meme coinler ve daha küçük piyasa değerine sahip tokenlar daha da keskin kayıplar yaşadı, bazıları %90'ın üzerinde düştü. Buna karşılık, Sui Vakfı, çalınan fonların yaklaşık 163 milyon dolarını dondurmak için doğrulayıcılarla koordinasyon sağladı. Cetus ayrıca, sorumluları belirleyecek bilgiler için 5 milyon dolarlık bir ödül duyurdu.

Sonuç olarak, Cetus Protocol'deki bu olay, DeFi protokollerinin güvenlik açıklarının ne kadar büyük sonuçlar doğurabileceğini bir kez daha gösterdi. Geliştiricilerin, karmaşık matematiksel işlemleri ve olası taşma sorunlarını titizlikle incelemesi ve test etmesi gerektiği vurgulanıyor.