Waarom er $223 miljoen werd buitgemaakt op het SUI-netwerk: dit ging er mis bij Cetus

De gedecentraliseerde beurs Cetus, actief op het Sui-netwerk, is zoals we schreven vorige week getroffen door een van de grootste DeFi-exploits van de afgelopen jaren.

Door een kwetsbaarheid in de code van de automatische marktmaker werd maar liefst $223 miljoen buitgemaakt. Beveiligingsbedrijf Dedaub publiceerde een uitgebreid rapport waarin het technische falen en de gevolgen haarfijn worden uitgelegd.

Overflow-bug laat de code ontsporen

De fout zat in de Automated Market Maker (AMM) van Cetus. Een AMM is een mechanisme dat ervoor zorgt dat mensen op decentrale beurzen altijd crypto kunnen kopen of verkopen, zonder dat daar direct een andere persoon voor nodig is. Dit gebeurt met behulp van liquiditeitspools. Wanneer iemand assets wil wisselen met de pools dan rekent de AMM uit hoeveel tokens de handelaar terug moet krijgen.

Volgens Dedaub ging het mis in de logica van Cetus’ AMM, waar een “overflow”-fout in de wiskundige berekeningen niet correct werd afgehandeld. In plaats van extreme waarden af te wijzen, werden deze afgekapt, waardoor verkeerde output ontstond. Een aanvaller kon hierdoor met slechts één token een gigantische positie verkrijgen, waarmee vervolgens echte activa uit de pools werden geplunderd. Het was dus geen hack, maar een slimme exploit van een bestaande fout in de code.

Auditwaarschuwingen werden genegeerd

Het pijnlijke is dat deze fout voorkomen had kunnen worden. In 2023 draaide Cetus op het Aptos netwerk. Destijds had beveiligingsfirma Ottersec tijdens een audit op het Aptos-netwerk al gewaarschuwd voor de kwetsbaarheid. Bij de overstap naar het Sui-netwerk bleef de bug echter bestaan. Ondanks pogingen tot beveiligingsverbeteringen, faalde het Cetus-team in het adequaat controleren van overflow-omstandigheden, aldus Dedaub: “Complexe wiskunde binnen decentralized finance vereist nauwkeurige beoordeling en testen.”

Miljoenenverlies en koerscrash

De aanval vond plaats in de vroege ochtend van 22 mei en leidde tot paniekverkopen op het Sui-netwerk. SUI zelf daalde aanvankelijk weinig maar staat inmiddels toch bijna 15% lager dan voor de aanval. De CETUS-token zelf kreeg een zwaardere tik. De token daalde met bijna 50%. Kleinere memecoins die verhandeld werden op Cetus, daalden zelfs met meer dan 90%.

De Sui Foundation wist circa $163 miljoen van de gestolen fondsen te bevriezen, maar de schade blijft aanzienlijk. Cetus gaf de hacker aanvankelijk een kans een groot deel van de assets terug te geven in ruil voor immuniteit. De hacker ging hier niet op in en Cetus heeft inmiddels een beloning van $5 miljoen uitgeloofd voor informatie die leidt tot het identificeren van de daders. Het incident onderstreept eens te meer het belang van zorgvuldige audits en rigoureuze beveiligingscontroles binnen de DeFi-sector.

Claim vandaag nog €10 gratis en betaal geen handelskosten over de eerste €10.000!

Grijp deze unieke kans met Newsbit en Bitvavo door nu een account aan te maken via de knop hieronder. Stort slechts €10 en ontvang direct €10 gratis. Bovendien kun je 7 dagen lang zonder kosten handelen over je eerste €10.000 aan transacties. Start vandaag nog en profiteer direct van de groeiende populariteit van crypto!

Maak je account en Claim je €10 gratis.

Mis deze kans niet om direct te profiteren van de groeiende populariteit van Crypto!