Sui Network cam kết chi 10 triệu đô la để tăng cường các biện pháp bảo mật sau vụ khai thác Cetus trị giá 223 triệu đô la

Blockchain không cần cấp phép lớp 1 Mạng Tùy tuyên bố rằng vụ việc gần đây liên quan đến cá sấu sàn giao dịch phi tập trung (DEX) là do lỗi trong thư viện toán học dành riêng cho Cetus, chứ không phải do lỗ hổng cố hữu trong mạng Sui hoặc ngôn ngữ lập trình Move. 

Mặc dù có nguồn gốc kỹ thuật, kết quả cho người dùng vẫn không thay đổi. Nền tảng này nhấn mạnh tầm quan trọng của việc áp dụng cách tiếp cận toàn diện đối với an ninh hệ sinh thái và thừa nhận nhu cầu tăng cường hỗ trợ trong lĩnh vực này. 

Mạng Tùy cũng cho biết sẽ nêu bật các biện pháp bảo mật hiện tại và đưa ra các sáng kiến ​​bổ sung để củng cố cam kết giúp các nhà phát triển bảo vệ ứng dụng của họ. 

Là một phần của nỗ lực này, mạng lưới đã cam kết thêm 10 triệu đô la cho các cải tiến bảo mật. Khoản tài trợ này sẽ được phân bổ cho các hoạt động như kiểm toán mã, chương trình tiền thưởng lỗi, xác minh chính thức và các phương pháp khác nhằm tăng cường khuôn khổ bảo mật của mạng lưới, với các chiến lược triển khai sẽ được phát triển phối hợp với cộng đồng nhà phát triển.

Cetus công bố báo cáo sự cố sau vụ khai thác 223 triệu đô la 

Cùng lúc đó, Cetus đã công bố một bản phân tích khai thác nêu rõ nguyên nhân gốc rễ và các bước giảm thiểu đã lên kế hoạch. Sự cố bắt nguồn từ việc hiểu sai hoạt động dịch chuyển trái trong thư viện nguồn mở integer-mate, mà hợp đồng CLMM dựa vào. Cụ thể, phương thức checked\_shlw phải xác thực xem đầu vào có nhỏ hơn hoặc bằng 2^192 hay không; tuy nhiên, phiên bản đang sử dụng đã kiểm tra không đúng với 2^256, dẫn đến lỗi phát hiện tràn dữ liệu đúng cách. 

Lỗi này là nguyên nhân chính dẫn đến việc khai thác gần đây. Bằng cách khai thác lỗi này, kẻ tấn công đã thao túng logic thanh khoản và tích tắc của nhóm, cho phép trích xuất số tiền đáng kể qua nhiều chu kỳ khai thác. 

Hiện tại, Cetus đang hợp tác chặt chẽ với nhóm bảo mật Sui và một số công ty kiểm toán để tiến hành đánh giá lại toàn diện các hợp đồng đã cập nhật, bao gồm quy trình kiểm toán hợp tác. Các nhóm CLMM và các dịch vụ liên quan sẽ chỉ được kích hoạt lại dần dần sau khi các hợp đồng đã sửa đổi được xác thực đầy đủ. Các cuộc kiểm toán bổ sung được lên lịch bắt đầu ngay lập tức và nền tảng có kế hoạch phát hành các báo cáo kiểm toán thường xuyên dựa trên tổng giá trị bị khóa (TVL). Các nỗ lực cải thiện giám sát trên chuỗi cũng đang được tiến hành, bao gồm các cải tiến đối với các thông số quản lý rủi ro và giới hạn tốc độ dòng tài sản được kiểm soát nhiều hơn.

Hơn nữa, các nỗ lực hiện đang được tiến hành thông qua sự hợp tác với các bên liên quan chính trong hệ sinh thái để xây dựng kế hoạch phục hồi cho các nhóm và nhà cung cấp thanh khoản bị ảnh hưởng, với mục tiêu khôi phục toàn bộ chức năng, bao gồm cả việc rút thanh khoản, càng sớm càng tốt. 

Để theo đuổi mục tiêu bồi thường đầy đủ cho người dùng về những tổn thất của họ, nền tảng đã khởi xướng một cuộc bỏ phiếu quản trị trên chuỗi và đang yêu cầu sự hỗ trợ từ các trình xác thực Sui. Nếu được chấp thuận, đề xuất sẽ tạo điều kiện thuận lợi cho việc trả lại nhanh chóng một phần đáng kể tài sản bị ảnh hưởng cho người dùng. Nền tảng coi biện pháp này là một bước tiến tới cả phục hồi tài chính và khôi phục lòng tin trong cộng đồng.

Vào ngày 22 tháng XNUMX, Cetus đã trải qua một vi phạm an ninh dẫn đến thiệt hại của người dùng ước tính là 223 triệu đô la trong vòng 24 giờ. Để ứng phó với sự cố, Cetus và Sui Foundation đã báo cáo rằng một phần lớn tài sản bị xâm phạm đã được đóng băng ngay lập tức thông qua hành động phối hợp của các trình xác thực mạng Sui. Theo thông tin do nhóm Cetus cung cấp, khoảng 163 triệu đô la trong số các quỹ bị ảnh hưởng đã bị đóng băng vào cùng ngày khai thác xảy ra, với sự hỗ trợ của các trình xác thực và đối tác hệ sinh thái.