Cetus Protocol, 22 Mayıs’ta Sui ağındaki sözleşmelerinde tespit edilen tamsayı taşması hatasıyla 223 milyon dolarlık kayba yol açan saldırının ardından Pazar günü platformu yeniden açtı. Saldırıdan hemen sonra Sui doğrulayıcıları tarafından dondurulan 162 milyon dolar iade edildi. Kalan açık ise protokolün 7 milyon dolarlık nakit rezervi ve Sui Vakfı’ndan sağlanan 30 milyon USDC krediyle kapatıldı. Ekip, zarar gören likidite havuzlarının yüzde 85–99’unu eski seviyesine taşıdı. Kalan kısım ise 12 ayda lineer olarak kilidi açılacak CETUS coin’lerle ödenecek. Aptos tarafı saldırıdan etkilenmezken, saldırganın ele geçirdiği on milyonlarca dolar halen hareket halinde ve bir kısmı Tornado Cash’e aktarılmış durumda. CETUS fiyatı saldırının arifesi 21 Mayıs’tan bu yana yüzde 44 düştü.
Fonların Kurtarılması Süreci
Cetus ekibi dondurulan varlıkların iadesinin ardından her havuzu tek tek dengeleyerek kullanıcı mevduatlarını büyük ölçüde korudu. Protokol rezervleriyle desteklenen kusursuz yeniden sermayelendirme sayesinde LP’ler nakit ihtiyacının önemli bölümünü anında karşıladı. Eksik kalan küçük pay için geliştiriciler CETUS coin’lerin 12 ay boyunca lineer çözülecek biçimde dağıtacak. Böylece piyasada ani satış baskısı oluşmasının önüne geçilecek.
Likidite enjeksiyonuna ek olarak Sui Vakfı, ekosistemin sürdürülebilirliği adına 30 milyon USDC köprü kredisi sağladı. Vakıf kredinin vadesiz olduğunu ve geri ödeme takviminin havuz gelirlerine göre esnek belirleneceğini açıkladı. Bu finansman modeli merkeziyetsiz borsa altyapılarında nadir görülen kurumsal destek örneği olarak kayda geçti.
Güvenlik Açığının Detayları ve Alınan Önlemler
SlowMist’in teknik raporuna göre saldırgan checked_shlw fonksiyonundaki tamsayı taşma hatasını hedefleyerek tek bir coin’i milyarlarca dolar gösterdi ve Sui likiditesini çekti. İki gün önceden hazırlanan cüzdanlar ilk başarısız denemeden sonra parametrelerin hassas biçimde ayarlanmasıyla başarıya ulaştı. Ancak Aptos sözleşmeleri benzer kütüphaneyi kullanmadığı için etkilenmedi.
Cetus yeniden lansman öncesi sözleşmeleri yamaladı, çok katmanlı harici denetimlerden geçti ve gerçek-zamanlı izleme sistemini genişletti. Ayrıca yeni bir beyaz şapka ödül programı ilan edilerek araştırmacılara hatalı kod bildirimi karşılığı teşvik sunulacak. Ekip saldırganın kimliğinin belirlenmesi halinde cezai sürecin hızla tamamlanacağına inandığını aktardı.
