เกิดช่องโหว่ด้านความปลอดภัยใหญ่ในระบบนิเวศ Sui blockchain เมื่อผู้โจมตีดูดซับ มูลค่าประมาณ $200 ล้านจากสระสภาพคล่องของ Cetus ซึ่งเป็นการแลกเปลี่ยนแบบกระจายที่ใหญ่ที่สุดในเครือข่าย
การโจมตี ทำให้เกิดความสูญเสียอย่างแพร่หลายในโทเค็นหลายสิบตัวบน เครือข่าย Sui สร้างความกังวลใหม่เกี่ยวกับความปลอดภัย ของกลไกการกำหนดราคา oracle ในแพลตฟอร์ม Layer 1 ที่เกิดขึ้นใหม่
การโจมตีทำให้เกิดการขายที่ตกลงอย่างมากในโทเค็นที่ใช้ Sui หลายตัว โทเค็นที่เป็นมีมรวมถึง Lofi (LOFI), Sudeng (HIPPO), และ Squirtle (SQUIRT) สูญเสียค่าเกือบ ทั้งหมด โดยมีการสูญเสียระหว่าง 76% ถึง 97% ในเวลาน้อย กว่าหนึ่งชั่วโมง โทเค็นของ Cetus ลดลง 53% การวิเคราะห์บนเครือข่ายจาก DEX Screener แสดงให้เห็นว่า มีโทเค็น Sui ถึง 46 โทเค็นที่รายงานการสูญเสียเป็น ตัวเลขสองหลักในช่วง 24 ชั่วโมงหลังเกิดเหตุการณ์
แม้ราคาของโทเค็นจะลดลงอย่างมากและมีจุดอ่อนชัดเจน ในโครงสร้างพื้นฐาน โทเค็น SUI ดั้งเดิมยังคงแสดงความยืดหยุ่น โดยมีการเพิ่มขึ้น 2.2% ในช่วงเวลาเดียวกัน อาจเป็นเพราะ การซื้อในระดับต่ำหรือโมเมนตัมของตลาดที่กว้างขึ้น
ตามที่บริษัทความปลอดภัยบล็อกเชน Cyvers กล่าว ผู้โจมตีดำเนินการกลยุทธ์การจัดการ oracle ที่ซับซ้อน โดยใช้ประโยชน์จากช่องโหว่ใน smart contracts ของ Cetus พวกเขาแทรกโทเค็นหลอกที่ออกแบบมาเพื่อบิดเบือน การสำรองสระสภาพคล่องและบิดเบือนข้อมูลการกำหนดราคา
"การโจมตีนี้อาศัยโทเค็นหลอกที่สร้างข้อมูลราคาที่หลอกลวง ในสระตลาดอัตโนมัติ (AMM) ของ DEX," Deddy Lavid, ซีอีโอของ Cyvers กล่าว "การบิดเบือนนี้อนุญาตให้ ผู้โจมตีสามารถดึงสินทรัพย์จริงเช่น SUI และ USDC จากสระสภาพคล่องหลายแห่งออกมา"
เหตุการณ์นี้ชี้ให้เห็นถึงความเสี่ยงที่รู้จักใน การเงินแบบกระจาย (DeFi): การพึ่งพา oracles บนเครือข่ายเพื่อให้ข้อมูลการกำหนดราคา ในกรณีนี้ ผู้โจมตีสามารถจัดการเส้นโค้งราคาภายในได้โดย ไม่ต้องพึ่งพา oracle การป้อนข้อมูลราคาแบบดั้งเดิมเช่น Chainlink ซึ่งบ่งชี้ว่าอาจมีช่องโหว่เชิงโครงสร้างที่ลึกขึ้น
การเคลื่อนไหวข้ามเครือข่าย: การฟอกเงินที่ได้มา
หลังเกิดการโจมตี ผู้โจมตีเริ่มโยกย้ายเงินที่ถูกขโมย ข้อมูลจากบล็อกเชนแสดงให้เห็นว่า USDC มูลค่า ประมาณ $61.5 ล้านถูกส่งไปที่ Ethereum อย่างรวดเร็ว ส่วนอีก $164 ล้านยังคงอยู่ในกระเป๋าเงินที่อยู่บน Sui ณ เวลาที่เรียบเรียงข้อมูลไม่มีสินทรัพย์ใดที่ถูก กู้คืนได้ และมีนักสืบออนไลน์สงสัยยังติดตามการเคลื่อนไหว ของเงิน
การแปลงสินทรัพย์ที่ถูกขโมยไปยัง USDC ย้ำถึง ความสำคัญที่ยังคงมีอยู่ของ stablecoins ในการ ดำเนินการฟอกเงิน นอกจากนี้ยังจุดประกายวิจารณ์อีกครั้ง ต่อผู้ออก stablecoin อย่าง Circle และ Tether สำหรับการตอบสนองที่บ่อยครั้งช้าในสภาวะของการ แข็งตัวเงินที่ได้มาโดยทุจริต
ผู้ออก Stablecoin ภายในวิกฤติ
ผู้สังเกตการณ์อุตสาหกรรม รวมถึง ZachXBT และ Cyvers ได้แสดงความกังวลต่อระดับการตอบสนอง ของผู้ออก USDC Circle ที่ช้า ในเดือนกุมภาพันธ์ Circle ใช้เวลานานกว่าห้าชั่วโมงในการแข็งตัวเงินที่ เชื่อมโยงกับการโจมตี Bybit ซึ่งเป็นความล่าช้าที่ผู้เชี่ยวชาญ เชื่อว่ามอบเวลาหนีที่จำเป็นให้กับผู้โจมตี Tether ได้พบกับ การตรวจสอบที่คล้ายกันเกี่ยวกับความล่าช้าที่ได้รับการ รับรู้ในการเดิมพันบัญชีการที่ไม่เที่ยง
"เราได้ออกคำเตือนแบบเรียลไทม์ในการโจมตีหลายครั้ง, รวมถึงครั้งนี้เช่นกัน, แต่การตอบสนองจาก ผู้ออกบัตรมักจะมาช้าเกินไป," Lavid กล่าว "ความล่าช้านี้สร้างช่องโหว่ที่สามารถถูกใช้ประโยชน์ได้ ที่ทำให้การแก้ไขหลังการโจมตีไม่มีความหมาย"
การวิจารณ์ที่เพิ่มขึ้นกำลังดึงดูดการสนทนาใหม่เกี่ยวกับ ทางเลือกการใช้กลไกการแช่แข็งอัตโนมัติที่สามารถ ลดเวลาในการตอบสนองของมนุษย์เมื่อเกิดเหตุการณ์ฉุกเฉิน
การตอบสนองและการสืบสวนของโปรโตคอล
Cetus เดินหน้าที่จะระงับ smart contracts ของ ตนเองหลังจากตรวจพบการโจมตี โปรแกรมยอมรับ โดยสาธารณะถึง "เหตุการณ์" ผ่านทางโซเชียลมีเดีย และประกาศว่าทีมภายในกำลังทำการสอบสวนเชิงลึก
ข้อความภายในที่รั่วไหลจาก Discord ของ Cetus แนะนำว่า อาจเกิดจากข้อบกพร่องในตรรกะ oracle แต่ ผู้สังเกตการณ์บนโซเชียลมีเดียได้แสดงความสงสัย โดยสังเกตว่า ความอ่อนแอในตรรกะ AMM และโครงสร้างสระ สภาพคล่องมักจะแสดงออกเป็นปัญหา oracle
"นี่ไม่ใช่ข้อบกพร่องของ oracle การป้อนราคาใน ความหมายแบบดั้งเดิม," นักพัฒนา DeFi รายหนึ่งที่ ขอไม่เปิดเผยชื่อกล่าว "นี่เป็นปัญหาที่เกิดขึ้น เกี่ยวกับวิธีการที่บาง DEX คำนวณราคาทรัพย์สิน ภายในสระที่มีการซื้อขายน้อย"