Cetus Protocol Hack: Bug di Overflow Porta a una Perdita di $223M
Il 22 maggio 2025, Cetus Protocol, un importante DEX sulla blockchain Sui, ha subito un exploit catastrofico. Un sottile bug di overflow aritmetico ha permesso a un attaccante di drenare ~$223 milioni, rendendolo uno dei più grandi hack DeFi dell'anno.
L'attaccante ha utilizzato prestiti flash per prendere in prestito grandi quantità di tokenA e ha aperto una posizione all'interno di un intervallo di prezzo ben definito — [300000, 300200]. Aggiungendo solo 1 unità di tokenA, è stato in grado di coniare un'eccessiva quantità di liquidità.
Al centro del problema c'era una funzione difettosa: get_delta_a, che calcola quanto tokenA è necessario per coniare liquidità. La funzione utilizzava un'operazione checked_shlw difettosa che non riusciva a rifiutare valori superiori a un limite di 192 bit, portando a un overflow. Questo ha causato il ripristino dei calcoli a un numero molto più piccolo, permettendo all'attaccante di fornire solo 1 token ma ricevere liquidità per milioni.
Dopo aver coniato e ritirato con successo la liquidità, l'attaccante ha ripagato il prestito flash e ha mantenuto il profitto. Ha poi trasferito ~$62M USDC su Ethereum tramite Wormhole e lo ha scambiato per ETH. Il resto dei fondi (~$162M) è stato congelato dai validatori Sui prima che potessero essere trasferiti.
Cosa è Andato Sbagliato?
La vulnerabilità risiedeva nella logica aritmetica non controllata. In particolare, l'overflow si è verificato durante la moltiplicazione e lo spostamento di grandi valori interi. Poiché i protocolli DeFi spesso trattano numeri enormi per precisione, la mancata gestione degli overflows può essere una bomba a orologeria.
Il bug di Cetus ha permesso agli attaccanti di eludere i controlli di sicurezza e sfruttare ripetutamente il pool. È un classico esempio di come una singola linea di logica difettosa possa far collassare un intero protocollo.
Questo Poteva Essere Prevenuto?
Sì. Il bug avrebbe potuto essere individuato con una corretta validazione dell'input, controlli di overflow e audit esterni rigorosi. Comprendere come si comportano i grandi interi a livello di compilatore è essenziale per lo sviluppo DeFi ma spesso viene trascurato.
#MarketRebound #cryptonewstoday #Cryptonewsdaily #BinanceSquareTalks #kosheunti'scontent.
