En mayo de 2025, el mundo de las DeFi se vio sacudido por una de las brechas de seguridad más importantes de la historia reciente. Cetus Protocol, uno de los principales protocolos de intercambio descentralizado (DEX) y liquidez de la cadena de bloques Sui, fue víctima de un sofisticado hackeo que provocó pérdidas que superaron los 200 millones de dólares. Este incidente no solo conmocionó a la comunidad de DeFi, sino que también generó serias preocupaciones sobre la seguridad de los contratos inteligentes y la solidez de los protocolos basados en cadenas de bloques emergentes como Sui.

Cetus Protocol se había establecido como el principal DEX de la red Sui, ofreciendo a los usuarios una plataforma para intercambiar tokens y proporcionar liquidez. Como componente clave de la infraestructura dentro del ecosistema Sui, Cetus desempeñó un papel fundamental a la hora de facilitar el comercio descentralizado y contribuir a la liquidez general de la red. Su prominencia lo convirtió en un objetivo atractivo para los actores malintencionados que buscan explotar las vulnerabilidades en su base de código.

Se desarrolla el hackeo de Cetus

La violación se produjo el 22 de mayo de 2025, cuando los atacantes identificaron y explotaron una falla crítica en la lógica de los contratos inteligentes de Cetus. Concretamente, la vulnerabilidad se debía a un sutil error de desbordamiento aritmético que permitía al pirata informático manipular los mecanismos de contabilidad internos del protocolo. Al utilizar fichas falsas y manipular las curvas de precios de los fondos de liquidez, el atacante pudo drenar enormes cantidades de fondos sin activar sistemas de detección inmediata.

Aproximadamente a las 3:52 a.m. PT (11:52 UTC), los monitores de la cadena de bloques comenzaron a detectar transacciones irregulares en varios fondos de liquidez de Cetus. En cuestión de horas, quedó claro el alcance de los daños: se habían desviado activos del protocolo por valor de más de 260 millones de dólares. Los fondos robados se intercambiaron rápidamente y se transfirieron a otras cadenas de bloques, lo que complicó los esfuerzos de recuperación.

Impacto en el mercado y en el ecosistema Sui

Las secuelas del hackeo fueron rápidas y graves. Las operaciones en Cetus se interrumpieron de inmediato, ya que los desarrolladores se apresuraron a evaluar la situación y mitigar las pérdidas adicionales. Mientras tanto, el valor de los tokens nativos asociados a la plataforma se desplomó, y algunos experimentaron caídas de hasta el 80% en cuestión de horas. Los inversores y los usuarios se enfrentaron a pérdidas masivas y la confianza en el ecosistema Sui se vio afectada.

Un hecho particularmente alarmante se produjo cuando la red Sui intentó adoptar una controvertida contramedida: votar a favor de congelar la cartera del atacante que contenía 160 millones de dólares de los fondos robados. Si bien esta medida demostró un enfoque proactivo para la recuperación de activos, también generó debates sobre los principios de descentralización y sobre si tales acciones socavaban la confianza en la inmutabilidad de las transacciones basadas en la cadena de bloques.

En un momento dado, el USD SUI perdió un 5% y el USD CETUS perdió un +- 40%, lo que supuso un salto increíble y aterrador a la vez.

Detalles técnicos del exploit del protocolo Cetus

Según el análisis proporcionado por la empresa de ciberseguridad Halborn, la causa principal del exploit radica en la forma en que Cetus validaba ciertas operaciones aritméticas durante el intercambio de tokens. Un descuido en la gestión de grandes cantidades provocó una situación de desbordamiento, que el atacante manipuló hábilmente para crear desequilibrios artificiales en los fondos de liquidez. Luego, estos desequilibrios se aprovecharon para extraer activos reales del sistema sin compensar adecuadamente a los proveedores de liquidez.

Este tipo de vulnerabilidad es particularmente insidiosa porque no siempre se manifiesta en condiciones operativas normales; por el contrario, para activarla se requieren casos extremos específicos relacionados con valores muy elevados o secuencias de transacciones inusuales. Estos errores son notoriamente difíciles de detectar durante las auditorías y las fases de prueba estándar, lo que los convierte en los principales candidatos para que los exploten adversarios con muchos recursos.

Esfuerzos de respuesta y recuperación de la Fundación Cetus y Sui (también conocida como Mysten Labs)

Durante el ataque, según se informa, se congelaron alrededor de 160 millones de dólares que se devolverán a las piscinas de Cetus. Es por eso que toda la fundación Sui inició una votación para descongelar estos tokens.

Tras el ataque, el equipo de Cetus emitió declaraciones públicas en las que reconocía la violación y describía los pasos a seguir para solucionarlo. Trabajaron en estrecha colaboración con empresas de análisis de cadenas de bloques como Elliptic y Chainalysis para rastrear el movimiento de los fondos robados e identificar posibles vías de recuperación. Además, surgieron debates sobre la implementación de actualizaciones de emergencia para corregir las vulnerabilidades existentes y mejorar la resiliencia futura contra ataques similares.

Los miembros de la comunidad expresaron reacciones encontradas ante estos desarrollos. Si bien muchos elogiaron la transparencia demostrada por el liderazgo de Cetus tras el hackeo, otros criticaron la falta de preparación para estos escenarios y cuestionaron si se habían implementado suficientes salvaguardias antes del lanzamiento.