22 Mayıs 2025'te, Cetus, CLMM havuzuna yönelik karmaşık bir akıllı sözleşme saldırısına uğradı. Etkileri azaltmak için derhal harekete geçtik, bu rapor olayın zaman çizelgesini, kök neden analizini, fon durumunu ve sonraki planları şeffaf bir şekilde açıklamayı amaçlamakta ve sonraki konuları birlikte ilerletmeyi hedeflemektedir.
Olay Zaman Çizgisi
UTC zamanı 10:30:50 – Saldırı anormal işlemlerle başlatıldı.
UTC zamanı 10:40:00 - İzleme sistemi, fon havuzu davranışının anormal olduğunu tespit etti.
UTC zamanı 10:53:00 – Cetus ekibi saldırının kaynağını tespit etti ve Sui ekosistem üyelerine uyarı gönderdi.
UTC zamanı 10:57:47 – Temel CLMM havuzu, kayıpların daha da büyümesini önlemek için devre dışı bırakıldı.
UTC zamanı 11:20:00 – Tüm ilgili akıllı sözleşmeler küresel olarak devre dışı bırakıldı.
UTC zamanı 12:50:00 – Sui doğrulayıcıları, saldırgan adresler tarafından imzalanan işlemleri reddetmek için oylamaya başladı, oy stake %33 eşiğini aştığında, doğrulayıcılar bu adresleri etkin bir şekilde "dondurdu".
UTC zamanı 18:04:07 – Saldırganlara zincir üzerindeki müzakere mesajı gönderildi.
UTC zamanı 18:15:28 – Açık sözleşme düzeltildi ve yükseltildi (henüz yeniden başlatılmadı).
Saldırı Analizi
Saldırganlar, CLMM sözleşmesindeki inter\_mate açık kaynak kütüphanesindeki bir güvenlik açığını kullandı, saldırı süreci şu şekildedir:
a. Saldırgan, likidite havuzundaki fiyatı geçici olarak düşürmek için flaş takas (flash_swap) başlatır.
b. Daha yüksek fiyat aralığında pozisyon açmak.
c. Hatalı taşma kontrolünü kullanarak likidite ekleme (add\_liquidity) mantığında, çok az token ile abartılı bir likidite değeri enjekte edin.
d. Çoklu likidite kaldırma (remove_liquidity) ile token rezervlerini çekmek.
e. Doğrulanmamış hesaplamaları (örneğin, overflowing\_sub, get\_liquidity\_from\_a) kullanarak, özenle yapılandırılmış likidite değerleri ile yukarıdaki süreci tekrarlayın.
Bu güvenlik açığı daha önceki güvenlik denetiminde tespit edilmemiştir.
Temel Sebep
Güvenlik açığı, CLMM sözleşmesinin bağlı olduğu 'integer-mate' açık kaynak kitaplığındaki sola kaydırma işlemlerinin anlambiliminin yanlış anlaşılmasından kaynaklanır. 'checked_shlw' yönteminde, gerçek kontrol "giriş değerinin ≤2^192 olup olmadığı" olmalıdır, ancak saldırıya uğrayan sürümde yanlış bir şekilde "≤2^256" olarak algılandı ve taşma kontrolünün başarısız olmasına neden oldu. Son saldırının tek gerçek nedeni budur.
Saldırganlar, yukarıda belirtilen açığı kullanarak, fon havuzunun fiyat ölçeğini (tick) ve likidite mekanizmasını manipüle ederek, çoklu saldırı döngülerinde büyük miktarda varlık çekmeyi başardılar.
Açıklığa kavuşturmak gerekirse, son zamanlarda sosyal medyadaki bazı kişiler yanlışlıkla saldırının önceki denetim raporunda işaretlenen "MAX_U64 aritmetik kontrol hatasından" kaynaklandığına inandı ve bu da gerçeği bilmeyen birçok kullanıcıyı yanılttı. Bu konunun bu saldırı ile ilgili olmadığını beyan etmek isteriz. Bu sorunun kendisi yalnızca aşırı durumlarda işlemin geri alınmasına neden olan bilgilendirici bir optimizasyon önerisidir ve optimizasyon düzeltmesi önceki sürümlerde tamamlanmıştır.
Ekosistemin ortak çıkarlarını korumak amacıyla, çoğu Sui doğrulayıcısının desteğiyle, saldırganın iki Sui cüzdan adresi acilen donduruldu. Dondurulan cüzdan, çalınan fonların büyük kısmını içermektedir:
Saldırgan Sui cüzdanı 1 (donduruldu): 0xcd8962dad278d8b50fa0f9eb0186bfa4cbdecc6d59377214c88d0286a0ac9562
Saldırgan Sui cüzdanı 2 (dondurulmuş): 0xe28b50cef1d633ea43d3296a3f6b67ff0312a5f1a99f0af753c85b8b5de8ff06
Kalan çalınan fonlar, saldırgan tarafından tamamen ETH'ye dönüştürülmüş ve köprülenmiştir. Şu anda aşağıdaki iki Ethereum cüzdanında bulunmaktadır:
Sui güvenlik ekibi ve birçok denetim ortağı ile iş birliği yaparak, güncellenmiş sözleşmeleri yeniden gözden geçiriyoruz ve çok taraflı bir birleşik denetim gerçekleştiriyoruz. Sadece kapsamlı doğrulamadan sonra, CLMM havuzunun ve ilgili hizmetlerin etkinleştirilmesi aşamalı olarak yeniden yapılacaktır.
Ekstra denetimlere hemen başlaymayı planlıyoruz ve TVL (Toplam Kilitlenmiş Değer) temelinde düzenli denetim raporları yayınlayacağız. Aynı zamanda, zincir üzerindeki izlemeyi güçlendirmeye, risk yönetim yapılandırmasını optimize etmeye ve varlık akışına kontrollü hız sınırlamaları uygulamaya devam edeceğiz.
LP varlık geri yükleme
Temel ekosistem ortaklarıyla işbirliği yaparak etkilenen likidite havuzları ve LP'ler için iyileştirme planları tasarlıyoruz. Etkilenen havuzların likidite çekim işlevlerini ve tüm hizmetleri en kısa sürede geri getirmeyi hedefliyoruz.
Kullanıcı kayıplarının tamamını telafi etme nihai hedefine ulaşmak için, tüm Sui doğrulayıcılarını yakın zamanda başlattığımız zincir içi oylamamızı desteklemeye içtenlikle çağırıyoruz. Bu oylama, kullanıcıların varlıklarının çoğunu hızlı bir şekilde geri almalarına olanak tanıyacak. Desteğinizle, kullanıcı kayıplarının tazmini ve topluluk güveninin mümkün olan en kısa sürede yeniden inşası ile ilerleyeceğiz.
Hukuk ve Müzakere Çalışmaları
Hukuk ve icra prosedürleri ilerlerken, saldırganlara beyaz şapka fırsatı da sunuyoruz. Yakında saldırganlara son bir bildiri yapılacak ve tüm gelişmeler topluluğa şeffaf bir şekilde aktarılacak.
Sonuç
Kullanıcılara, Sui Vakfı'na ve ekosistem ortaklarına hızlı yanıtları ve güçlü destekleri için içtenlikle teşekkür ederiz; bu sayede 160 milyon dolardan fazla fonu hızla dondurabiliyoruz ve etkilenen taraflara kritik bilgileri iletebiliyoruz. Aynı zamanda, tam bir yeniden kazanımın zaman alacağını biliyoruz ve süreci hızlandırmak için aktif olarak önlemler alıyoruz.
Kuruluşundan bu yana, Cetus Sui ağı üzerinde akıllı sözleşme denetimi ve sistem koruma alanında en fazla yatırım yapan DeFi ekiplerinden biri olmuştur. Ancak gerçekler beklediğimiz gibi olmadı: Alt sözleşmeler ve bağımlı açık kaynak kütüphaneleri birçok denetim sürecinden geçti ve ekosistem geliştiricileri tarafından yaygın bir şekilde başarılı bir şekilde kullanıldı, bu da bizi yeterince güvenli olduğuna inandırdı. Sonradan düşündüğümüzde, yeterince dikkatli olamadığımızı anladık. Bu acı ders, daha fazlasını yapmamız gerektiğini öğretti.
Gelecekte, güvenlik sistemini ve risk kontrolünü güçlendirmek için aşağıdaki önlemleri alacağız:
Blockaid gibi araçlar kullanarak gerçek zamanlı izleme gerçekleştirin, tehditler ve açıklar için zamanında tespit ve yanıt verin.
Risk yönetim yapılandırmasını optimize et, varlık akışına kontrol edilebilir bir hız limiti getir.
Akıllı sözleşme kaynak kodunun test kapsamını artırmak
Açık Kod Kapsama Göstergesi
Resmi yayımdan önce, önemli kod değişikliklerinden sonra ve kritik TVL kilometre taşlarına ulaşıldığında denetim yapılmalıdır.
Beyaz Şapkalı Açık Hata Ödül Programını Güncelleyin, Değerli Hata Raporlarına Yüksek Ödüller Verin
Yukarıda belirtilen bir dizi önlem uygulanmaktadır ve biz bunu sürekli derinleştireceğiz.
Ayrıca, DeFi protokollerini korumanın yalnızca ekip ve denetim tarafının çabalarına bağlı olmadığını, geliştiricilerden aktif beyaz şapkalı katkıda bulunanlara kadar tüm ekosistem güçlerinin birlikte izleme, savunma ve geliştirme gerektiğini fark ettik. Tüm mevcut güçleri bir araya getirerek ekosistem için sürdürülebilir ve dayanıklı bir altyapı inşa etmeyi umuyoruz, zamana dayanacak şekilde.
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
Cetus, çalınan olay raporunu yayınladı: Zaman çizelgesi ve saldırı ayrıntıları açıklandı
Kaynak: Cetus; Derleyen: AIMan@Altın Finans
22 Mayıs 2025'te, Cetus, CLMM havuzuna yönelik karmaşık bir akıllı sözleşme saldırısına uğradı. Etkileri azaltmak için derhal harekete geçtik, bu rapor olayın zaman çizelgesini, kök neden analizini, fon durumunu ve sonraki planları şeffaf bir şekilde açıklamayı amaçlamakta ve sonraki konuları birlikte ilerletmeyi hedeflemektedir.
Olay Zaman Çizgisi
UTC zamanı 10:30:50 – Saldırı anormal işlemlerle başlatıldı.
UTC zamanı 10:40:00 - İzleme sistemi, fon havuzu davranışının anormal olduğunu tespit etti.
UTC zamanı 10:53:00 – Cetus ekibi saldırının kaynağını tespit etti ve Sui ekosistem üyelerine uyarı gönderdi.
UTC zamanı 10:57:47 – Temel CLMM havuzu, kayıpların daha da büyümesini önlemek için devre dışı bırakıldı.
UTC zamanı 11:20:00 – Tüm ilgili akıllı sözleşmeler küresel olarak devre dışı bırakıldı.
UTC zamanı 12:50:00 – Sui doğrulayıcıları, saldırgan adresler tarafından imzalanan işlemleri reddetmek için oylamaya başladı, oy stake %33 eşiğini aştığında, doğrulayıcılar bu adresleri etkin bir şekilde "dondurdu".
UTC zamanı 18:04:07 – Saldırganlara zincir üzerindeki müzakere mesajı gönderildi.
UTC zamanı 18:15:28 – Açık sözleşme düzeltildi ve yükseltildi (henüz yeniden başlatılmadı).
Saldırı Analizi
Saldırganlar, CLMM sözleşmesindeki
inter\_mateaçık kaynak kütüphanesindeki bir güvenlik açığını kullandı, saldırı süreci şu şekildedir:a. Saldırgan, likidite havuzundaki fiyatı geçici olarak düşürmek için flaş takas (flash_swap) başlatır.
b. Daha yüksek fiyat aralığında pozisyon açmak.
c. Hatalı taşma kontrolünü kullanarak
likidite ekleme (add\_liquidity)mantığında, çok az token ile abartılı bir likidite değeri enjekte edin.d. Çoklu likidite kaldırma (remove_liquidity) ile token rezervlerini çekmek.
e. Doğrulanmamış hesaplamaları (örneğin,
overflowing\_sub,get\_liquidity\_from\_a) kullanarak, özenle yapılandırılmış likidite değerleri ile yukarıdaki süreci tekrarlayın.Bu güvenlik açığı daha önceki güvenlik denetiminde tespit edilmemiştir.
Temel Sebep
Güvenlik açığı, CLMM sözleşmesinin bağlı olduğu 'integer-mate' açık kaynak kitaplığındaki sola kaydırma işlemlerinin anlambiliminin yanlış anlaşılmasından kaynaklanır. 'checked_shlw' yönteminde, gerçek kontrol "giriş değerinin ≤2^192 olup olmadığı" olmalıdır, ancak saldırıya uğrayan sürümde yanlış bir şekilde "≤2^256" olarak algılandı ve taşma kontrolünün başarısız olmasına neden oldu. Son saldırının tek gerçek nedeni budur.
Saldırganlar, yukarıda belirtilen açığı kullanarak, fon havuzunun fiyat ölçeğini (tick) ve likidite mekanizmasını manipüle ederek, çoklu saldırı döngülerinde büyük miktarda varlık çekmeyi başardılar.
Açıklığa kavuşturmak gerekirse, son zamanlarda sosyal medyadaki bazı kişiler yanlışlıkla saldırının önceki denetim raporunda işaretlenen "MAX_U64 aritmetik kontrol hatasından" kaynaklandığına inandı ve bu da gerçeği bilmeyen birçok kullanıcıyı yanılttı. Bu konunun bu saldırı ile ilgili olmadığını beyan etmek isteriz. Bu sorunun kendisi yalnızca aşırı durumlarda işlemin geri alınmasına neden olan bilgilendirici bir optimizasyon önerisidir ve optimizasyon düzeltmesi önceki sürümlerde tamamlanmıştır.
Saldırgan adresi (Sui zincirinde):
0xe28b50cef1d633ea43d3296a3f6b67ff0312a5f1a99f0af753c85b8b5de8ff06
Fon Durumu
Ekosistemin ortak çıkarlarını korumak amacıyla, çoğu Sui doğrulayıcısının desteğiyle, saldırganın iki Sui cüzdan adresi acilen donduruldu. Dondurulan cüzdan, çalınan fonların büyük kısmını içermektedir:
Saldırgan Sui cüzdanı 1 (donduruldu): 0xcd8962dad278d8b50fa0f9eb0186bfa4cbdecc6d59377214c88d0286a0ac9562
Saldırgan Sui cüzdanı 2 (dondurulmuş): 0xe28b50cef1d633ea43d3296a3f6b67ff0312a5f1a99f0af753c85b8b5de8ff06
Kalan çalınan fonlar, saldırgan tarafından tamamen ETH'ye dönüştürülmüş ve köprülenmiştir. Şu anda aşağıdaki iki Ethereum cüzdanında bulunmaktadır:
Saldırgan Ethereum cüzdanı 1: 0x0251536bfcf144b88e1afa8fe60184ffdb4caf16
Saldırgan Ethereum cüzdanı 2: 0x89012a55cd6b88e407c9d4ae9b3425f55924919b
Gelecek Planları
Sözleşme İncelemesi ve Güvenlik Güçlendirmesi
Sui güvenlik ekibi ve birçok denetim ortağı ile iş birliği yaparak, güncellenmiş sözleşmeleri yeniden gözden geçiriyoruz ve çok taraflı bir birleşik denetim gerçekleştiriyoruz. Sadece kapsamlı doğrulamadan sonra, CLMM havuzunun ve ilgili hizmetlerin etkinleştirilmesi aşamalı olarak yeniden yapılacaktır.
Ekstra denetimlere hemen başlaymayı planlıyoruz ve TVL (Toplam Kilitlenmiş Değer) temelinde düzenli denetim raporları yayınlayacağız. Aynı zamanda, zincir üzerindeki izlemeyi güçlendirmeye, risk yönetim yapılandırmasını optimize etmeye ve varlık akışına kontrollü hız sınırlamaları uygulamaya devam edeceğiz.
LP varlık geri yükleme
Temel ekosistem ortaklarıyla işbirliği yaparak etkilenen likidite havuzları ve LP'ler için iyileştirme planları tasarlıyoruz. Etkilenen havuzların likidite çekim işlevlerini ve tüm hizmetleri en kısa sürede geri getirmeyi hedefliyoruz.
Kullanıcı kayıplarının tamamını telafi etme nihai hedefine ulaşmak için, tüm Sui doğrulayıcılarını yakın zamanda başlattığımız zincir içi oylamamızı desteklemeye içtenlikle çağırıyoruz. Bu oylama, kullanıcıların varlıklarının çoğunu hızlı bir şekilde geri almalarına olanak tanıyacak. Desteğinizle, kullanıcı kayıplarının tazmini ve topluluk güveninin mümkün olan en kısa sürede yeniden inşası ile ilerleyeceğiz.
Hukuk ve Müzakere Çalışmaları
Hukuk ve icra prosedürleri ilerlerken, saldırganlara beyaz şapka fırsatı da sunuyoruz. Yakında saldırganlara son bir bildiri yapılacak ve tüm gelişmeler topluluğa şeffaf bir şekilde aktarılacak.
Sonuç
Kullanıcılara, Sui Vakfı'na ve ekosistem ortaklarına hızlı yanıtları ve güçlü destekleri için içtenlikle teşekkür ederiz; bu sayede 160 milyon dolardan fazla fonu hızla dondurabiliyoruz ve etkilenen taraflara kritik bilgileri iletebiliyoruz. Aynı zamanda, tam bir yeniden kazanımın zaman alacağını biliyoruz ve süreci hızlandırmak için aktif olarak önlemler alıyoruz.
Kuruluşundan bu yana, Cetus Sui ağı üzerinde akıllı sözleşme denetimi ve sistem koruma alanında en fazla yatırım yapan DeFi ekiplerinden biri olmuştur. Ancak gerçekler beklediğimiz gibi olmadı: Alt sözleşmeler ve bağımlı açık kaynak kütüphaneleri birçok denetim sürecinden geçti ve ekosistem geliştiricileri tarafından yaygın bir şekilde başarılı bir şekilde kullanıldı, bu da bizi yeterince güvenli olduğuna inandırdı. Sonradan düşündüğümüzde, yeterince dikkatli olamadığımızı anladık. Bu acı ders, daha fazlasını yapmamız gerektiğini öğretti.
Gelecekte, güvenlik sistemini ve risk kontrolünü güçlendirmek için aşağıdaki önlemleri alacağız:
Blockaid gibi araçlar kullanarak gerçek zamanlı izleme gerçekleştirin, tehditler ve açıklar için zamanında tespit ve yanıt verin.
Risk yönetim yapılandırmasını optimize et, varlık akışına kontrol edilebilir bir hız limiti getir.
Akıllı sözleşme kaynak kodunun test kapsamını artırmak
Açık Kod Kapsama Göstergesi
Resmi yayımdan önce, önemli kod değişikliklerinden sonra ve kritik TVL kilometre taşlarına ulaşıldığında denetim yapılmalıdır.
Beyaz Şapkalı Açık Hata Ödül Programını Güncelleyin, Değerli Hata Raporlarına Yüksek Ödüller Verin
Yukarıda belirtilen bir dizi önlem uygulanmaktadır ve biz bunu sürekli derinleştireceğiz.
Ayrıca, DeFi protokollerini korumanın yalnızca ekip ve denetim tarafının çabalarına bağlı olmadığını, geliştiricilerden aktif beyaz şapkalı katkıda bulunanlara kadar tüm ekosistem güçlerinin birlikte izleme, savunma ve geliştirme gerektiğini fark ettik. Tüm mevcut güçleri bir araya getirerek ekosistem için sürdürülebilir ve dayanıklı bir altyapı inşa etmeyi umuyoruz, zamana dayanacak şekilde.