Вход

Cetus хак: отчет о взломе при эксплойте в $223 млн

В мае 2025 года произошёл один из самых масштабных и технически сложных децентрализованных взломов за последние годы. Хакеры воспользовались уязвимостью в коде протокола Cetus, одного из крупнейших DEX на блокчейне Sui, чтобы украсть более $223 миллионов пользовательских активов.

“Это был не просто обман или фишинг. Это полноценный программный эксплойт, связанный с математической ошибкой в алгоритме AMM.” – аналитик по DeFi, CryptoWatch.

Что стало причиной взлома? 🧠

Согласно официальному расследованию компании Dedaub, хакерам удалось использовать ошибку переполнения (overflow bug) в логике автоматического маркет-мейкера Cetus. Проблема заключалась в том, что:

  • Протокол не проверял корректность больших чисел;
  • Не производился выход из операции при превышении максимального значения;
  • Вместо этого система "обрезала" число, принимая его как допустимое;
  • Таким образом, атакующий мог внести всего один токен, но получить доступ к огромной сумме в пуле.

Ошибка возникла ещё в момент портирования кода с Aptos на Sui. Хотя ранее она была выявлена Ottersec в 2023 году, разработчики не учли все нюансы при повторном внедрении, и защита оказалась недостаточной.

Как это работало: техническая сторона атаки 💻

Хакерская атака состояла из нескольких этапов:

  1. Они внесли минимальное количество токенов в пул;
  2. Используя overflow bug, протокол неправильно рассчитал их долю в пуле;
  3. Атакующие получили искусственно завышенную позицию в ликвидности;
  4. После этого они начали выводить реальные активы из пула;
  5. Процесс повторялся до полного опустошения всех уязвимых пулов.

Это позволило им получить доступ к средствам других участников без фактического пополнения.

Реакция рынка после взлома 📉

Взлом стал одной из самых громких новостей в экосистеме Sui. После инцидента:

  • CETUS token упал на 43%;
  • SUI потерял 38% своей стоимости;
  • Многие мемекоины и малые проекты на Sui потеряли до 90% капитализации.

Это связано с тем, что пользователи массово начали выводить средства из пулов, опасаясь дальнейших утечек и потери доверия к DeFi на Sui.

Как пытались спасти ситуацию? ⚖️

После взлома команда Cetus и Sui Foundation предприняли срочные меры:

  • Было заморожено около $163 млн средств на адресах, связанных с атакой;
  • Объявлена награда в размере $5 млн за информацию о злоумышленниках;
  • Команда начала сотрудничество с Chainalysis и PeckShield для трассировки денег;
  • Все пулы временно приостановлены для внутреннего аудита.

Однако даже эти действия не смогли полностью вернуть доверие — многие пользователи перевели свои средства в другие сети, такие как Solana и Ethereum Layer2.

Почему так важна математическая точность в DeFi? 📊

DeFi строится на автоматизированных алгоритмах, которые должны быть абсолютно точными. Ошибка в одном числе может привести к колоссальным последствиям:

  • Неправильный расчёт цены актива;
  • Нарушение баланса в пуле;
  • Перехват контроля над ликвидностью;
  • Манипуляции через математические “дыры”.

По данным CertiK, более 60% всех DeFi-эксплойтов в 2024–2025 годах были связаны с ошибками в математических функциях, таких как:

  • Overflow;
  • Underflow;
  • Неверные формулы в AMM;
  • Неправильная работа с числами в smart-контрактах.

Какие ещё были ошибки в Cetus до этого? 🕵️‍♂️

Это не первый случай, когда протокол сталкивался с проблемами безопасности. В 2023 году:

  • Компания Ottersec уже выявила аналогичную уязвимость в коде Cetus на Aptos;
  • Угроза исходила от того же типа ошибки — переполнения в контракте;
  • Пользователи тогда не понесли потерь, так как аудит был проведён своевременно;
  • Однако при переносе на Sui, этот пункт был упущен.

Это показывает, насколько важно повторное тестирование контрактов при переходе между сетями, особенно если код переписывается или адаптируется под новый язык, такой как Move (Sui).

Что такое overflow bug и почему он так опасен? 🔐

Overflow bug — это ошибка в вычислениях, когда система не может корректно обработать слишком большое значение и вместо отказа продолжает операцию, используя неверный результат.

  • В классическом случае целое число переполняется и становится отрицательным;
  • В DeFi это может привести к неверному расчёту баланса;
  • Если не предусмотреть защиту, система принимает “ложный” баланс как истинный;
  • Это позволяет злоумышленнику создать фиктивный ликвидный пул и обналичить настоящие средства.

Такие ошибки сложно обнаружить, потому что:

  • Они не вызывают ошибок в обычном режиме;
  • Работают только при определённых условиях;
  • Могут быть использованы неоднократно, пока их не найдут.

Какие уроки можно извлечь? 🧭

Случай с Cetus должен стать важным сигналом для всей индустрии DeFi:

  • Автоматические проверки недостаточны — нужен ручной анализ;
  • Math в смарт-контрактах требует двойной проверки;
  • Копирование кода между сетями требует полного аудита;
  • Защита от overflow должна быть реализована явно, а не полагаться на стандартные библиотеки;
  • Ликвидность в пулах должна динамически контролироваться;
  • Децентрализованные биржи должны иметь механизмы отката (rollback) в случае критических уязвимостей;
  • Пользователи должны понимать риски работы с DeFi и не держать все средства в одном пуле.

Эксперты также советуют:

  • Использовать только те пулы, где есть открытый код и многократный аудит;
  • Проверять историю команды и наличие прошлых инцидентов;
  • Избегать пулов с высокой APY и непонятной механикой;
  • Следить за обновлениями протоколов и изменениями в смарт-контрактах.

Какие ещё были крупные DeFi-взломы в 2025 году? 🚨

С Cetus случилось одно из самых заметных событий, но не единственное:

  • Ronin Network ($600 млн);
  • Wormhole Bridge ($170 млн);
  • Stargate Finance ($120 млн);
  • Marginfi ($90 млн);
  • Jupiter Aggregator ($30 млн, не окончательно подтверждено).

Все эти события подтверждают: DeFi остаётся одним из самых уязвимых секторов Web3, особенно когда речь идёт о математических ошибках и переносе кода между цепочками.

Какие технологии помогут избежать подобного в будущем? 🛡️

После такого масштабного инцидента сообщество начинает больше внимания уделять:

  • ZK-proofs — для скрытия чувствительных данных внутри пулов;
  • Formal verification — формальное доказательство правильности контрактов;
  • Move-специфичные библиотеки — с жёсткой типизацией и безопасными операциями;
  • On-chain мониторинг — системы вроде WalletGuard и ScamSniffer;
  • Rollback-механизмы — возможность отмены транзакций в экстренных случаях;
  • Децентрализованная страховка — например, через Nexus Mutual и InsurAce.

Эти меры могут значительно снизить риск повторения подобного, особенно если разработчики будут применять их системно.

Заключение: DeFi учится на своих ошибках 🌟

Взлом Cetus стоимостью в $223 миллиона — это не просто потеря средств. Это сигнал всем участникам DeFi о том, что:

  • Каждая строка кода должна быть проверена;
  • Математика в смарт-контрактах — не абстракция, а жизненно важный элемент;
  • Переиспользование кода требует полного переписывания и тестирования;
  • Пользователи должны быть готовы к тому, что DeFi всё ещё рискован;
  • Тестирование перед запуском — обязательный этап, а не формальность.

Если DeFi хочет быть серьёзным финансовым сектором, ему нужно научиться предотвращать подобные эксплойты, а не только реагировать на них.

26.05.2025, 08:53
Новости