Un bug ignoré dans une fonction critique. Simplement eso fue suficiente para drenar los pools de liquidez del DEX Cetus en Sui. La semana pasada, un atacante aprovechó una falla en una biblioteca de código abierto utilizada por el contrato inteligente del CLMM (Concentrated Liquidity Market Maker). Resultado: 223 millones de dólares extraídos, un protocolo congelado y una comunidad impactada.
Una attaque quirúrgica a través de un simple ‘flash swap’
Según el informe post mortem de Cetus, el exploit se basa en un error de verificación en la función checked_shlw de la biblioteca inter_mate. Esta función debía limitar las entradas a 192 bits, pero validaba incorrectamente hasta 256 bits. Como resultado, el atacante pudo inyectar una gran liquidez falsa con muy pocos tokens, manipular los ticks de precios y luego retirar los fondos en varias iteraciones. Una evasión limpia, rápida y brutal.
Tras detectar la anomalía, los equipos de Cetus desactivaron los pools CLMM en menos de 30 minutos. Demasiado tarde: más de 200 millones ya habían desaparecido, lo que provocó una caída de los tokens en Sui. En la próxima hora, los validadores bloquearon las direcciones del atacante, congelando 162 millones en la red. Pero cerca de 60 millones ya se habían convertido en USDC y transferidos a Ethereum.
Censura o protección? El debate relanzado
Esta decisión de bloquear las billeteras inmediatamente revivió el debate sobre la verdadera descentralización de Sui. Algunos elogian una respuesta rápida para limitar los daños. Otros denuncian un peligroso precedente: si una red puede congelar fondos tan rápidamente, ¿qué garantiza la neutralidad a largo plazo?
Recuperar los fondos: voto on-chain y caza del hombre
Cetus intentó un enfoque diplomático. Se envió una propuesta de restitución sin persecución al atacante. Silencio total. En respuesta, el protocolo estableció una recompensa de 5 millones de dólares por cualquier información que conduzca a su identificación y arresto. Al mismo tiempo, una propuesta de voto on-chain está en marcha para permitir, con el acuerdo de la comunidad, la restitución de los fondos congelados a los usuarios afectados.
Auditorías, programas de recompensa por errores y monitoreo: Cetus quiere tranquilizar
Detrás de bastidores, Cetus intenta restaurar la confianza. Auditorías de múltiples partes, fortalecimiento del monitoreo en tiempo real, publicación de tasas de cobertura de pruebas y un programa de recompensa por errores mejorado: se está haciendo todo lo posible para evitar una repetición. El redespliegue de los pools CLMM solo ocurrirá después de una validación completa con socios de seguridad.
