Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 233Fallo de smart contract

Overflow en Cetus Protocol

Un fallo en el guard de overflow del mayor DEX de Sui permitió inyectar una posición minúscula que se leía como gigantesca, drenando $223M.

Fecha
Víctima
Cetus Protocol
Cadena(s)
SuiEthereum
Estado
Parcialmente recuperado

El 22 de mayo de 2025, Cetus Protocol — el mayor DEX en Sui — fue drenado por aproximadamente 223 millones de dólares en una sola transacción quirúrgicamente precisa. Los validadores de Sui congelaron la mayor parte de los fondos on-chain en cuestión de horas; la fundación y el equipo finalmente resarcieron a los depositantes.

Qué ocurrió

El bug vivía dentro de la librería matemática de coma fija de Cetus, en un helper llamado checked_shlw. Su propósito era proteger una operación de shift a la izquierda contra overflow. La implementación comparaba la entrada con 0xFFFFFFFFFFFFFFFF << 192 en lugar de con 0x1 << 192 — el umbral por encima del cual podía ocurrir un overflow.

El atacante eligió un valor de liquidez que pasaba la comprobación (rota) pero causaba un overflow silencioso durante el cálculo real de añadir liquidez. El resultado: un depósito de esencialmente un wei se acreditaba al atacante como si fuera una posición masiva de liquidez concentrada. Luego canjeaba esa posición por activos reales, drenando el pool.

Alrededor de $60M se puentearon a Ethereum antes de que los defensores pudieran reaccionar. Los ~$162M restantes se quedaron en Sui y fueron congelados por los validadores tras alertarse a la red.

Consecuencias

  • Los validadores de Sui votaron congelar las direcciones del atacante on-chain — un movimiento controvertido, ya que requirió una decisión coordinada de blacklisting de transacciones entre un pequeño conjunto de validadores.
  • La Fundación Sui extendió un préstamo de $30M USDC a Cetus. Combinado con las propias reservas de efectivo de $7M de Cetus y los fondos congelados on-chain, los pools de depositantes se repusieron al 85-99% de los saldos previos al incidente.
  • Cetus relanzó el 8 de junio de 2025 con una librería parcheada.

Por qué importa

Cetus reforzó dos hechos incómodos: las librerías matemáticas compartidas son un riesgo sistémico (el bug fue heredado de una plantilla Move de la comunidad), y la intervención a nivel de validador es una defensa legítima pero contestada. Solana, Ethereum y la mayoría de las grandes cadenas niegan explícitamente la capacidad de congelar; el conjunto de validadores más rápido y pequeño de Sui puede — y lo hizo. Si eso es una característica o una bandera de centralización depende del dinero de quién seas.

Fuentes y evidencia on-chain

  1. [01]cyfrin.iohttps://www.cyfrin.io/blog/inside-the-223m-cetus-exploit-root-cause-and-impact-analysis
  2. [02]halborn.comhttps://www.halborn.com/blog/post/explained-the-cetus-hack-may-2025
  3. [03]coindesk.comhttps://www.coindesk.com/markets/2025/05/28/sui-network-steps-in-to-compensate-cetus-losses-in-full-after-223m-exploit

Registros relacionados