Pada 22 Mei 2025, Cetus mengalami serangan kontrak pintar yang kompleks terhadap kolam CLMM. Kami telah segera mengambil tindakan untuk mengurangi dampak, laporan ini bertujuan untuk mengungkapkan secara transparan garis waktu kejadian, analisis akar penyebab, status dana, dan rencana tindak lanjut, serta bersama-sama mendorong urusan selanjutnya.
Garis Waktu Peristiwa
Waktu UTC 10:30:50 – Serangan dimulai melalui transaksi yang mencurigakan.
Waktu UTC 10:40:00 – Sistem pemantauan mendeteksi perilaku aneh pada kolam dana.
Waktu UTC 10:53:00 – Tim Cetus mengidentifikasi sumber serangan dan memberikan peringatan kepada anggota ekosistem Sui.
Waktu UTC 10:57:47 – Kolam CLMM inti dinonaktifkan untuk mencegah kerugian yang lebih besar.
Waktu UTC 11:20:00 – Semua kontrak pintar terkait dinonaktifkan secara global.
Waktu UTC 12:50:00 – Validator Sui mulai memberikan suara menolak transaksi yang ditandatangani oleh alamat penyerang. Setelah suara stake melebihi ambang batas 33%, validator secara efektif "membekukan" alamat-alamat tersebut.
Waktu UTC 18:04:07 – Mengirim pesan negosiasi di blockchain kepada penyerang.
Waktu UTC 18:15:28 – Kontrak kerentanan telah diperbaiki dan ditingkatkan (belum di-restart).
Analisis Serangan
Penyerang memanfaatkan celah kerentanan dalam pustaka sumber terbuka inter\_mate di kontrak CLMM, proses serangannya adalah sebagai berikut:
a. Penyerang memulai pertukaran kilat (flash_swap) untuk sementara menurunkan harga di dalam kolam dana.
b. Buka posisi di kisaran harga yang lebih tinggi.
c. Memanfaatkan pemeriksaan overflow yang salah dalam logika menambahkan likuiditas (add\_liquidity) untuk menyuntikkan nilai likuiditas yang sangat tinggi dengan sedikit token.
d. Menghapus likuiditas (remove_liquidity) secara berulang untuk menguras cadangan token.
e. Menggunakan perhitungan yang tidak terverifikasi (seperti overflowing\_sub, get\_liquidity\_from\_a), melalui nilai likuiditas yang dibangun dengan cermat, ulangi proses di atas.
Kerentanan ini tidak terdeteksi dalam audit keamanan sebelumnya.
Penyebab Utama
Kerentanan ini berasal dari salah pengertian terhadap semantik operasi pergeseran kiri dalam pustaka sumber terbuka integer-mate, yang digunakan oleh kontrak CLMM. Dalam metode checked\_shlw-nya, pemeriksaan yang sebenarnya harusnya adalah "Apakah nilai input ≤2^192", tetapi di versi yang diserang salah diperiksa sebagai "≤2^256", yang mengakibatkan pemeriksaan overflow tidak berfungsi. Ini adalah satu-satunya alasan nyata untuk serangan baru-baru ini.
Penyerang memanfaatkan celah di atas dengan memanipulasi skala harga (tick) dan mekanisme likuiditas dari kolam dana, berhasil mencuri sejumlah besar aset dalam beberapa siklus serangan.
Untuk memperjelas, beberapa orang di media sosial baru-baru ini secara keliru percaya bahwa serangan tersebut berasal dari "kesalahan pemeriksaan aritmatika MAX_U64" yang ditandai dalam laporan audit sebelumnya, yang menyesatkan banyak pengguna yang tidak mengetahui kebenarannya. Kami ingin menyatakan bahwa masalah ini tidak terkait dengan serangan ini. Masalah ini sendiri hanyalah saran pengoptimalan informasi yang hanya menyebabkan transaksi diputar kembali dalam kasus ekstrim, dan perbaikan pengoptimalan telah selesai di rilis sebelumnya.
Untuk menjaga kepentingan bersama dari seluruh ekosistem, dua alamat dompet Sui milik penyerang telah dibekukan secara darurat dengan dukungan dari sebagian besar validator Sui. Dompet yang dibekukan ini berisi sebagian besar dana yang dicuri:
Penyerang Dompet Sui 1 (telah dibekukan): 0xcd8962dad278d8b50fa0f9eb0186bfa4cbdecc6d59377214c88d0286a0ac9562
Penyerang Dompet Sui 2 (dibekukan): 0xe28b50cef1d633ea43d3296a3f6b67ff0312a5f1a99f0af753c85b8b5de8ff06
Sisa dana yang dicuri telah sepenuhnya ditukarkan dan dijembatani ke ETH oleh penyerang, saat ini disimpan di dua dompet Ethereum berikut:
Kami sedang bekerja sama dengan tim keamanan Sui dan beberapa mitra audit untuk meninjau kembali kontrak yang telah diperbarui dan melakukan audit bersama. Hanya setelah verifikasi menyeluruh dilakukan, kami akan secara bertahap mengaktifkan kembali kolam CLMM dan layanan terkait.
Kami berencana untuk segera memulai audit tambahan dan menerbitkan laporan audit reguler berdasarkan TVL (Total Value Locked). Pada saat yang sama, kami akan terus memperkuat pemantauan on-chain, mengoptimalkan pengelolaan risiko, dan menerapkan pembatasan laju yang terkendali pada arus aset.
Pemulihan Aset LP
Kami sedang aktif bekerja sama dengan mitra inti ekosistem untuk merancang rencana pemulihan bagi kolam likuiditas dan LP yang terpengaruh, berusaha untuk segera memulihkan fungsi penarikan likuiditas serta semua layanan dari kolam yang terpengaruh.
Untuk mencapai tujuan akhir pemulihan kerugian pengguna secara penuh, kami dengan tulus menyerukan semua validator Sui untuk mendukung pemungutan suara on-chain yang baru-baru ini kami luncurkan. Pemungutan suara ini akan memungkinkan pengguna untuk dengan cepat memulihkan sebagian besar aset mereka. Dengan dukungan Anda, kami akan segera mempercepat proses kompensasi kerugian pengguna dan membangun kembali kepercayaan komunitas.
Hukum dan Pekerjaan Negosiasi
Sambil proses hukum dan penegakan hukum berjalan, kami juga memberikan kesempatan kepada para penyerang untuk menjadi hacker etis. Dalam waktu dekat, pemberitahuan akhir akan disampaikan kepada para penyerang, dan semua kemajuan akan diungkapkan secara transparan kepada komunitas.
Kesimpulan
Kami sangat berterima kasih kepada pengguna, Yayasan Sui, dan mitra ekosistem atas respons cepat dan dukungan luar biasa mereka, yang memungkinkan kami membekukan lebih dari 160 juta dolar AS dengan cepat dan menyampaikan informasi penting kepada pihak yang terdampak. Pada saat yang sama, kami menyadari bahwa pemulihan penuh masih memerlukan waktu, dan kami sedang mengambil langkah-langkah aktif untuk mempercepat proses tersebut.
Sejak didirikan, Cetus telah menjadi salah satu tim DeFi yang paling banyak berinvestasi dalam audit kontrak pintar dan perlindungan sistem di jaringan Sui. Namun kenyataan tidak seindah yang diharapkan: kontrak dasar dan pustaka sumber terbuka yang bergantung telah melalui beberapa putaran audit, dan telah berhasil digunakan secara luas oleh pengembang ekosistem, yang membuat kami salah mengira bahwa itu sudah cukup aman. Setelah merenung, kami menyadari bahwa kami tidak dapat tetap waspada. Pelajaran pahit kali ini membuat kami mengerti: kami harus melakukan lebih banyak.
Di masa depan, kami akan memperkuat sistem keamanan dan pengendalian risiko melalui langkah-langkah berikut:
Menggunakan alat seperti Blockaid untuk melakukan pemantauan waktu nyata, mendeteksi dan merespons ancaman dan kerentanan dengan cepat.
Mengoptimalkan pengelolaan risiko, melakukan pembatasan laju yang dapat dikendalikan terhadap likuiditas aset.
Meningkatkan cakupan pengujian kode sumber kontrak pintar
Indikator Cakupan Kode Terbuka
Melakukan audit sebelum peluncuran resmi, setelah perubahan kode besar, dan saat mencapai pencapaian TVL yang penting.
Tingkatkan program hadiah bug white hat, beri penghargaan tinggi untuk laporan bug yang berharga
Berbagai langkah di atas telah diterapkan, dan kami akan terus memperdalamnya.
Selain itu, kami menyadari bahwa menjaga protokol DeFi tidak dapat hanya mengandalkan upaya tim dan auditor, tetapi membutuhkan kekuatan seluruh ekosistem – mulai dari pengembang hingga kontributor topi putih aktif – untuk memantau, mempertahankan, dan meningkatkan. Kami ingin menyatukan semua kekuatan yang tersedia untuk membangun infrastruktur yang berkelanjutan dan tangguh untuk seluruh ekosistem yang akan bertahan dalam ujian waktu.
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
Cetus merilis laporan insiden pencurian: garis waktu dan rincian serangan diungkap
Sumber: Cetus; Disusun oleh: AIMan@Jinse Caijing
Pada 22 Mei 2025, Cetus mengalami serangan kontrak pintar yang kompleks terhadap kolam CLMM. Kami telah segera mengambil tindakan untuk mengurangi dampak, laporan ini bertujuan untuk mengungkapkan secara transparan garis waktu kejadian, analisis akar penyebab, status dana, dan rencana tindak lanjut, serta bersama-sama mendorong urusan selanjutnya.
Garis Waktu Peristiwa
Waktu UTC 10:30:50 – Serangan dimulai melalui transaksi yang mencurigakan.
Waktu UTC 10:40:00 – Sistem pemantauan mendeteksi perilaku aneh pada kolam dana.
Waktu UTC 10:53:00 – Tim Cetus mengidentifikasi sumber serangan dan memberikan peringatan kepada anggota ekosistem Sui.
Waktu UTC 10:57:47 – Kolam CLMM inti dinonaktifkan untuk mencegah kerugian yang lebih besar.
Waktu UTC 11:20:00 – Semua kontrak pintar terkait dinonaktifkan secara global.
Waktu UTC 12:50:00 – Validator Sui mulai memberikan suara menolak transaksi yang ditandatangani oleh alamat penyerang. Setelah suara stake melebihi ambang batas 33%, validator secara efektif "membekukan" alamat-alamat tersebut.
Waktu UTC 18:04:07 – Mengirim pesan negosiasi di blockchain kepada penyerang.
Waktu UTC 18:15:28 – Kontrak kerentanan telah diperbaiki dan ditingkatkan (belum di-restart).
Analisis Serangan
Penyerang memanfaatkan celah kerentanan dalam pustaka sumber terbuka
inter\_matedi kontrak CLMM, proses serangannya adalah sebagai berikut:a. Penyerang memulai pertukaran kilat (flash_swap) untuk sementara menurunkan harga di dalam kolam dana.
b. Buka posisi di kisaran harga yang lebih tinggi.
c. Memanfaatkan pemeriksaan overflow yang salah dalam logika
menambahkan likuiditas (add\_liquidity)untuk menyuntikkan nilai likuiditas yang sangat tinggi dengan sedikit token.d. Menghapus likuiditas (remove_liquidity) secara berulang untuk menguras cadangan token.
e. Menggunakan perhitungan yang tidak terverifikasi (seperti
overflowing\_sub,get\_liquidity\_from\_a), melalui nilai likuiditas yang dibangun dengan cermat, ulangi proses di atas.Kerentanan ini tidak terdeteksi dalam audit keamanan sebelumnya.
Penyebab Utama
Kerentanan ini berasal dari salah pengertian terhadap semantik operasi pergeseran kiri dalam pustaka sumber terbuka
integer-mate, yang digunakan oleh kontrak CLMM. Dalam metodechecked\_shlw-nya, pemeriksaan yang sebenarnya harusnya adalah "Apakah nilai input ≤2^192", tetapi di versi yang diserang salah diperiksa sebagai "≤2^256", yang mengakibatkan pemeriksaan overflow tidak berfungsi. Ini adalah satu-satunya alasan nyata untuk serangan baru-baru ini.Penyerang memanfaatkan celah di atas dengan memanipulasi skala harga (tick) dan mekanisme likuiditas dari kolam dana, berhasil mencuri sejumlah besar aset dalam beberapa siklus serangan.
Untuk memperjelas, beberapa orang di media sosial baru-baru ini secara keliru percaya bahwa serangan tersebut berasal dari "kesalahan pemeriksaan aritmatika MAX_U64" yang ditandai dalam laporan audit sebelumnya, yang menyesatkan banyak pengguna yang tidak mengetahui kebenarannya. Kami ingin menyatakan bahwa masalah ini tidak terkait dengan serangan ini. Masalah ini sendiri hanyalah saran pengoptimalan informasi yang hanya menyebabkan transaksi diputar kembali dalam kasus ekstrim, dan perbaikan pengoptimalan telah selesai di rilis sebelumnya.
Alamat penyerang (di jaringan Sui):
0xe28b50cef1d633ea43d3296a3f6b67ff0312a5f1a99f0af753c85b8b5de8ff06
Status Keuangan
Untuk menjaga kepentingan bersama dari seluruh ekosistem, dua alamat dompet Sui milik penyerang telah dibekukan secara darurat dengan dukungan dari sebagian besar validator Sui. Dompet yang dibekukan ini berisi sebagian besar dana yang dicuri:
Penyerang Dompet Sui 1 (telah dibekukan): 0xcd8962dad278d8b50fa0f9eb0186bfa4cbdecc6d59377214c88d0286a0ac9562
Penyerang Dompet Sui 2 (dibekukan): 0xe28b50cef1d633ea43d3296a3f6b67ff0312a5f1a99f0af753c85b8b5de8ff06
Sisa dana yang dicuri telah sepenuhnya ditukarkan dan dijembatani ke ETH oleh penyerang, saat ini disimpan di dua dompet Ethereum berikut:
Dompet Ethereum Penyerang 1: 0x0251536bfcf144b88e1afa8fe60184ffdb4caf16
Dompet Ethereum Penyerang 2: 0x89012a55cd6b88e407c9d4ae9b3425f55924919b
Rencana Selanjutnya
Tinjauan Kontrak dan Penguatan Keamanan
Kami sedang bekerja sama dengan tim keamanan Sui dan beberapa mitra audit untuk meninjau kembali kontrak yang telah diperbarui dan melakukan audit bersama. Hanya setelah verifikasi menyeluruh dilakukan, kami akan secara bertahap mengaktifkan kembali kolam CLMM dan layanan terkait.
Kami berencana untuk segera memulai audit tambahan dan menerbitkan laporan audit reguler berdasarkan TVL (Total Value Locked). Pada saat yang sama, kami akan terus memperkuat pemantauan on-chain, mengoptimalkan pengelolaan risiko, dan menerapkan pembatasan laju yang terkendali pada arus aset.
Pemulihan Aset LP
Kami sedang aktif bekerja sama dengan mitra inti ekosistem untuk merancang rencana pemulihan bagi kolam likuiditas dan LP yang terpengaruh, berusaha untuk segera memulihkan fungsi penarikan likuiditas serta semua layanan dari kolam yang terpengaruh.
Untuk mencapai tujuan akhir pemulihan kerugian pengguna secara penuh, kami dengan tulus menyerukan semua validator Sui untuk mendukung pemungutan suara on-chain yang baru-baru ini kami luncurkan. Pemungutan suara ini akan memungkinkan pengguna untuk dengan cepat memulihkan sebagian besar aset mereka. Dengan dukungan Anda, kami akan segera mempercepat proses kompensasi kerugian pengguna dan membangun kembali kepercayaan komunitas.
Hukum dan Pekerjaan Negosiasi
Sambil proses hukum dan penegakan hukum berjalan, kami juga memberikan kesempatan kepada para penyerang untuk menjadi hacker etis. Dalam waktu dekat, pemberitahuan akhir akan disampaikan kepada para penyerang, dan semua kemajuan akan diungkapkan secara transparan kepada komunitas.
Kesimpulan
Kami sangat berterima kasih kepada pengguna, Yayasan Sui, dan mitra ekosistem atas respons cepat dan dukungan luar biasa mereka, yang memungkinkan kami membekukan lebih dari 160 juta dolar AS dengan cepat dan menyampaikan informasi penting kepada pihak yang terdampak. Pada saat yang sama, kami menyadari bahwa pemulihan penuh masih memerlukan waktu, dan kami sedang mengambil langkah-langkah aktif untuk mempercepat proses tersebut.
Sejak didirikan, Cetus telah menjadi salah satu tim DeFi yang paling banyak berinvestasi dalam audit kontrak pintar dan perlindungan sistem di jaringan Sui. Namun kenyataan tidak seindah yang diharapkan: kontrak dasar dan pustaka sumber terbuka yang bergantung telah melalui beberapa putaran audit, dan telah berhasil digunakan secara luas oleh pengembang ekosistem, yang membuat kami salah mengira bahwa itu sudah cukup aman. Setelah merenung, kami menyadari bahwa kami tidak dapat tetap waspada. Pelajaran pahit kali ini membuat kami mengerti: kami harus melakukan lebih banyak.
Di masa depan, kami akan memperkuat sistem keamanan dan pengendalian risiko melalui langkah-langkah berikut:
Menggunakan alat seperti Blockaid untuk melakukan pemantauan waktu nyata, mendeteksi dan merespons ancaman dan kerentanan dengan cepat.
Mengoptimalkan pengelolaan risiko, melakukan pembatasan laju yang dapat dikendalikan terhadap likuiditas aset.
Meningkatkan cakupan pengujian kode sumber kontrak pintar
Indikator Cakupan Kode Terbuka
Melakukan audit sebelum peluncuran resmi, setelah perubahan kode besar, dan saat mencapai pencapaian TVL yang penting.
Tingkatkan program hadiah bug white hat, beri penghargaan tinggi untuk laporan bug yang berharga
Berbagai langkah di atas telah diterapkan, dan kami akan terus memperdalamnya.
Selain itu, kami menyadari bahwa menjaga protokol DeFi tidak dapat hanya mengandalkan upaya tim dan auditor, tetapi membutuhkan kekuatan seluruh ekosistem – mulai dari pengembang hingga kontributor topi putih aktif – untuk memantau, mempertahankan, dan meningkatkan. Kami ingin menyatukan semua kekuatan yang tersedia untuk membangun infrastruktur yang berkelanjutan dan tangguh untuk seluruh ekosistem yang akan bertahan dalam ujian waktu.