Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 233Bug de smart contract

Overflow de Cetus Protocol

Une faille du garde-overflow dans le plus grand DEX de Sui a permis d'injecter une position de liquidité minuscule lue comme gigantesque, drainant 223 M$.

Date
Victime
Cetus Protocol
Chaîne(s)
SuiEthereum
Statut
Partiellement récupéré

Le 22 mai 2025, Cetus Protocol — le plus grand DEX sur Sui — a été drainé pour environ 223 millions de dollars dans une seule transaction chirurgicalement précise. Les validateurs Sui ont gelé la plupart des fonds on-chain en quelques heures ; la fondation et l'équipe ont finalement rendu les déposants indemnes.

Ce qui s'est passé

Le bug résidait dans la bibliothèque mathématique à virgule fixe de Cetus, dans une fonction d'aide appelée checked_shlw. Son but était de protéger une opération de décalage à gauche contre l'overflow. L'implémentation comparait l'entrée à 0xFFFFFFFFFFFFFFFF << 192 plutôt qu'à 0x1 << 192 — le seuil au-dessus duquel un overflow pouvait se produire.

L'attaquant a choisi une valeur de liquidité qui passait la vérification (cassée) mais causait un overflow silencieux pendant le calcul réel d'ajout de liquidité. Résultat : un dépôt d'essentiellement un wei était crédité à l'attaquant comme s'il s'agissait d'une position massive de liquidité concentrée. Il a ensuite échangé cette position contre des actifs réels, drainant le pool.

Environ 60 M$ ont été pontés vers Ethereum avant que les défenseurs ne puissent réagir. Les ~162 M$ restants sont restés sur Sui et ont été gelés par les validateurs après que le réseau ait été alerté.

Conséquences

  • Les validateurs Sui ont voté pour geler les adresses de l'attaquant on-chain — un mouvement contesté, puisqu'il nécessitait une décision coordonnée de blacklist de transactions parmi un petit ensemble de validateurs.
  • La Sui Foundation a accordé un prêt de 30 M$ USDC à Cetus. Combiné aux 7 M$ de réserves cash de Cetus et aux fonds gelés on-chain, les pools de déposants ont été réapprovisionnés à 85-99 % des soldes pré-incident.
  • Cetus a été relancé le 8 juin 2025 avec une bibliothèque corrigée.

Pourquoi c'est important

Cetus a renforcé deux faits inconfortables : les bibliothèques mathématiques partagées sont un risque systémique (le bug était hérité d'un template communautaire Move), et l'intervention au niveau validateur est une défense légitime mais contestée. Solana, Ethereum et la plupart des grandes chaînes désavouent explicitement la capacité de geler ; l'ensemble de validateurs plus rapide et plus petit de Sui peut — et l'a fait. Que ce soit une fonctionnalité ou un drapeau de centralisation dépend de à qui appartient l'argent.

Sources & preuves on-chain

  1. [01]cyfrin.iohttps://www.cyfrin.io/blog/inside-the-223m-cetus-exploit-root-cause-and-impact-analysis
  2. [02]halborn.comhttps://www.halborn.com/blog/post/explained-the-cetus-hack-may-2025
  3. [03]coindesk.comhttps://www.coindesk.com/markets/2025/05/28/sui-network-steps-in-to-compensate-cetus-losses-in-full-after-223m-exploit

Dépôts liés