Puntos clave de la Noticia
- SlowMist identificó que una vulnerabilidad crítica en la función `checked_shlw` permitió al atacante simular depósitos de liquidez masiva con apenas un token.
- El exploit fue ejecutado usando un préstamo flash y una posición de liquidez extremadamente estrecha, lo que distorsionó el precio y drenó los fondos del protocolo.
- La Fundación Sui ha logrado congelar más de $160 millones y Cetus ofrece una recompensa de $5 millones por información sobre el atacante.
El 22 de mayo, Cetus, uno de los exchanges descentralizados más destacados de la red SUI, sufrió una devastadora pérdida superior a los $230 millones. La razón, como reveló la firma de seguridad blockchain SlowMist, fue un minúsculo error de código en el contrato inteligente del protocolo, específicamente en la función `checked_shlw`, que no detectó correctamente un desbordamiento matemático en la función `get_delta_a`.
Este fallo permitía que el sistema calculara cantidades de tokens de forma errónea. En términos simples: el código creía que se añadía una gran cantidad de liquidez, cuando en realidad, solo se estaba depositando un token. Esa distorsión fue suficiente para que un atacante manipulara por completo la lógica del sistema y retirara activos reales sin apenas inversión.
Estrategia del Ataque: Préstamo Flash y Falsa Liquidez
El ataque comenzó con un préstamo flash de más de 10 millones de haSUI. Esta acción desplomó el precio del token dentro del pool en un 99.9%. Luego, el atacante creó una posición de liquidez con un rango extremadamente estrecho, lo que hizo que el protocolo asumiera que se estaba agregando una cantidad astronómica de tokens.
Aprovechando el fallo en el cálculo, el atacante reclamó haber depositado billones, cuando en realidad solo ingresó una fracción. Así, logró retirar grandes cantidades de activos en tres etapas y saldó su préstamo inicial. El botín final fue de aproximadamente 10 millones de haSUI y 5.7 millones de SUI.
Llamado a la Comunidad DeFi: Revisar, Verificar y Evolucionar
La comunidad cripto está en constante evolución, pero este incidente evidencia que el crecimiento debe ir de la mano con una auditoría rigurosa. SlowMist y también «Dedaub», otra firma de seguridad que analizó el evento, coinciden en que este tipo de errores de borde —“edge cases”— no deben subestimarse. Aunque un fallo similar ya había sido detectado en 2023 por Ottersec en la versión de Cetus para Aptos, su posterior migración a SUI mantuvo la debilidad latente.
En un acto de respuesta coordinada, la Fundación Sui logró congelar $163 millones de los fondos robados y Cetus ha ofrecido una recompensa de $5 millones por pistas que lleven a los responsables. Este tipo de acciones rápidas refuerzan la confianza en el ecosistema cripto, demostrando que, aunque los desafíos existen, la comunidad tiene herramientas y voluntad para defenderse.
El mundo DeFi no está exento de riesgos, pero estos eventos también impulsan mejoras que fortalecen la descentralización y la innovación.
