- L’attaque de 223 millions sur Cetus repose sur une faille dans la fonction checked_shlw d’une librairie open source, permettant d’injecter une fausse liquidité via un flash swap.
- Les validateurs du réseau Sui ont gelé 162 millions de dollars sur les portefeuilles de l’attaquant, mais 60 millions ont déjà été convertis et transférés vers Ethereum.
- Cetus a lancé une prime de 5 millions pour identifier l’attaquant et prévoit un vote on-chain pour restituer les fonds gelés, tout en renforçant sa sécurité avant tout redéploiement.
Un bug ignoré dans une fonction critique. C’est tout ce qu’il a fallu pour vider les pools de liquidité du DEX Cetus sur Sui. La semaine dernière, un attaquant a exploité une faille dans une librairie open source utilisée par le contrat intelligent du CLMM (Concentrated Liquidity Market Maker). Bilan : 223 millions de dollars siphonnés, un protocole figé, et une communauté sous le choc.
Une attaque chirurgicale via un simple « flash swap »
Selon le rapport post mortem de Cetus, l’exploit repose sur une erreur de vérification dans la fonction checked_shlw de la librairie inter_mate. Cette fonction devait limiter les entrées à 192 bits, mais validait à tort jusqu’à 256 bits. Résultat : l’attaquant a pu injecter une fausse liquidité massive avec très peu de tokens, manipuler les ticks de prix, puis retirer les fonds sur plusieurs itérations. Un contournement propre, rapide, et brutal.
Dès la détection de l’anomalie, les équipes de Cetus ont désactivé les pools CLMM en moins de 30 minutes. Trop tard : plus de 200 millions avaient déjà disparu, entraînant une chute des tokens sur Sui. Dans l’heure suivante, les validateurs ont gelé les adresses de l’attaquant, bloquant 162 millions sur le réseau. Mais près de 60 millions avaient déjà été convertis en USDC et transférés vers Ethereum.
Censure ou protection ? Le débat relancé
Cette décision de bloquer les portefeuilles a immédiatement ravivé le débat sur la décentralisation réelle de Sui. Certains saluent une réponse rapide pour limiter les dégâts. D’autres dénoncent un précédent dangereux : si un réseau peut geler des fonds aussi vite, qu’est-ce qui garantit la neutralité à long terme ?
Récupérer les fonds : vote on-chain et chasse à l’homme
Cetus a tenté une approche diplomatique. Une proposition de restitution sans poursuites a été envoyée à l’attaquant. Silence radio. En réponse, le protocole a mis en place une prime de 5 millions de dollars pour toute information menant à son identification et arrestation. En parallèle, une proposition de vote on-chain est en cours pour permettre, avec l’accord de la communauté, la restitution des fonds gelés aux utilisateurs lésés.
Audits, bug bounties et monitoring : Cetus veut rassurer
Derrière les coulisses, Cetus tente de restaurer la confiance. Audits multi-parties, renforcement du monitoring en temps réel, publication des taux de couverture de test, et programme de bug bounty dopé : tout est mis en œuvre pour éviter un bis repetita. Le redéploiement des pools CLMM n’aura lieu qu’après une validation complète avec les partenaires de sécurité.
