Cetus Protocol Hack: Error de Desbordamiento Lleva a una Pérdida de $223M
El 22 de mayo de 2025, Cetus Protocol, un importante DEX en la blockchain de Sui, sufrió un exploit catastrófico. Un sutil error de desbordamiento aritmético permitió a un atacante drenar ~ $223 millones, convirtiéndose en uno de los mayores hacks de DeFi del año.
El atacante utilizó préstamos relámpago para pedir prestadas grandes cantidades de tokenA y abrió una posición dentro de un rango de precios estrictamente definido — [300000, 300200]. Al agregar solo 1 unidad de tokenA, pudieron acuñar una cantidad excesiva de liquidez.
En el núcleo del problema había una función defectuosa: get_delta_a, que calcula cuánto de tokenA se requiere para acuñar liquidez. La función utilizaba una operación defectuosa checked_shlw que no rechazaba valores que superaban un límite de 192 bits, lo que provocó un desbordamiento. Esto hizo que los cálculos se reiniciaran a un número mucho más pequeño, permitiendo al atacante suministrar solo 1 token pero recibir liquidez por valor de millones.
Después de acuñar y retirar con éxito la liquidez, el atacante devolvió el préstamo relámpago y mantuvo la ganancia. Luego, puentearon ~$62M USDC a Ethereum a través de Wormhole y lo intercambiaron por ETH. El resto de los fondos (~$162M) fueron congelados por los validadores de Sui antes de que pudieran ser movidos.
¿Qué Salió Mal?
La vulnerabilidad residía en la lógica aritmética no verificada. Específicamente, el desbordamiento ocurrió al multiplicar y desplazar grandes valores enteros. Debido a que los protocolos de DeFi a menudo manejan números masivos para precisión, no manejar los desbordamientos puede ser una bomba de tiempo.
El error de Cetus permitió a los atacantes eludir las verificaciones de seguridad y explotar el fondo repetidamente. Es un ejemplo clásico de cómo una sola línea de lógica defectuosa puede colapsar todo un protocolo.
¿Se Podría Haber Previsto Esto?
Sí. El error podría haberse detectado con una validación de entrada adecuada, verificaciones de desbordamiento y auditorías externas rigurosas. Entender cómo se comportan los enteros grandes a nivel de compilador es esencial para el desarrollo de DeFi, pero a menudo se pasa por alto.
#MarketRebound #cryptonewstoday #Cryptonewsdaily #BinanceSquareTalks #kosheunti'scontent.
