Cetus sur le réseau SUI : voici comment 223 millions de dollars ont été dérobés

La bourse décentralisée Cetus, active sur le réseau Sui, a été, comme nous l’avons écrit la semaine dernière, touchée par l’un des plus grands exploits DeFi des dernières années.

En raison d’une vulnérabilité dans le code du market maker automatique, pas moins de 223 millions de dollars ont été dérobés. La société de sécurité Dedaub a publié un rapport détaillé expliquant en détail les défaillances techniques et les conséquences.

Bug d’overflow fait dérailler le code

L’erreur se trouvait dans l’Automated Market Maker (AMM) de Cetus. Un AMM est un mécanisme qui permet aux gens d’acheter ou de vendre des crypto-monnaies sur des bourses décentralisées à tout moment, sans qu’une autre personne soit directement nécessaire. Cela se fait à l’aide de pools de liquidités. Lorsqu’une personne souhaite échanger des actifs avec les pools, l’AMM calcule combien de tokens le commerçant doit recevoir en retour.

Selon Dedaub, le problème résidait dans la logique de l’AMM de Cetus, où une erreur de type « overflow » dans les calculs mathématiques n’était pas correctement gérée. Au lieu de rejeter les valeurs extrêmes, elles étaient tronquées, ce qui entraînait une sortie incorrecte. Un attaquant pouvait ainsi obtenir une position gigantesque avec seulement un token, puis piller de véritables actifs des pools. Il ne s’agissait donc pas d’un piratage, mais d’une exploitation astucieuse d’une erreur existante dans le code.

Les avertissements d’audit ont été ignorés

Le plus douloureux est que cette erreur aurait pu être évitée. En 2023, Cetus fonctionnait sur le réseau Aptos. À l’époque, la firme de sécurité Ottersec avait déjà alerté sur la vulnérabilité lors d’un audit du réseau Aptos. Cependant, lors du passage au réseau Sui, le bug persistait. Malgré les tentatives d’amélioration de la sécurité, l’équipe de Cetus a échoué à contrôler adéquatement les conditions d’overflow, selon Dedaub : « La mathématique complexe au sein de la finance décentralisée nécessite une évaluation et des tests précis. »

Pertes de millions et crash boursier

L’attaque a eu lieu tôt le matin du 22 mai et a conduit à des ventes paniques sur le réseau Sui. SUI a initialement peu baissé mais est désormais presque 15% plus bas qu’avant l’attaque. Le token CETUS lui-même a subi un coup plus dur. Le token a chuté de près de 50%. Les memecoins plus petits échangés sur Cetus ont même chuté de plus de 90%.

La Fondation Sui a réussi à geler environ 163 millions de dollars des fonds volés, mais les dommages restent considérables. Cetus a initialement donné au pirate une chance de rendre une grande partie des actifs en échange d’une immunité. Le pirate n’a pas accepté et Cetus a depuis offert une récompense de 5 millions de dollars pour des informations menant à l’identification des auteurs. L’incident souligne une fois de plus l’importance des audits minutieux et des contrôles de sécurité rigoureux dans le secteur DeFi.