A oferta de recompensa para recuperar fundos roubados da exchange descentralizada (DEX) Cetus, baseada na Sui, lembra de perto uma estratégia bem-sucedida usada por um projeto da Solana três anos atrás.
Acontece que a Cetus compartilha a mesma equipe de desenvolvimento da Crema Finance, um projeto DeFi baseado na Solana que sofreu um hack de US$ 9 milhões em 2022, mas recuperou a maior parte dos fundos ao negociar com seu hacker. Agora, a Cetus está confiando na mesma estratégia.
A Cetus está pedindo ao hacker que devolva tudo, exceto US$ 6 milhões, ou 2.324 Ether (ETH), dos fundos roubados em troca de uma promessa de não tomar medidas legais. O protocolo perdeu US$ 223 milhões em um exploit em 22 de maio.
O tamanho da recompensa gerou críticas dos usuários, com muitos pedindo um plano formal de compensação. Vários membros da comunidade argumentam que, mesmo que os fundos sejam recuperados, a maior parte do dano já foi feita — especialmente para os detentores do token CETUS, que despencou em valor após o incidente.
Enquanto isso, os validadores da Sui também estão sendo criticados por seu papel no congelamento dos fundos. A medida visa ajudar na recuperação, mas críticos dizem que expõe riscos de centralização na rede.
Devs da Cetus na Sui têm exchange fantasma na Solana
Uma estratégia de negociação semelhante usada pela equipe da Cetus na Sui foi empregada com sucesso anos atrás para recuperar fundos da Crema. O projeto Solana não publica em sua conta no X desde março de 2023, e sua plataforma de negociação agora apresenta volume insignificante, mas ainda assim não terminou bem para o hacker.
A Crema sofreu um hack de aproximadamente US$ 9 milhões em 2022. Assim como no caso da Cetus, o hacker da Crema recebeu uma proposta para devolver os fundos e manter US$ 1,6 milhão em troca de não relatar o ataque às autoridades.
Acredita-se que o hacker tenha sido capturado e enviado à prisão. Em abril de 2024, o Escritório do Procurador dos EUA para o Distrito Sul de Nova York condenou Shakeeb Ahmed a três anos de prisão por hackear duas exchanges de criptomoedas separadas. Uma foi identificada como Nirvana Finance, enquanto a outra não foi nomeada.
Relacionado: Quais senadores investem em cripto? 11 parlamentares têm investimentos em blockchain
Os detalhes do caso da exchange não nomeada coincidem com o hack da Crema, incluindo a data exata do exploit e os termos do acordo.
Norbert Bodziony, fundador do Nightly App, afirma que a equipe da Cetus era a responsável pela Crema Finance.
Bodziony se recusou a revelar como soube da relação à Cointelegraph, mas acrescentou que a conexão é “amplamente conhecida” nos círculos de desenvolvedores da Sui.
A Cointelegraph procurou a Cetus para confirmar a ligação entre os dois projetos, mas a equipe não respondeu até a publicação.
A Cointelegraph soube separadamente que ambos os projetos foram fundados por Henry Du.
Salvar a Cetus; centralizar a Sui
Os validadores da Sui bloquearam coletivamente transações dos endereços do hacker, congelando efetivamente US$ 162 milhões dos fundos roubados na Sui. Cerca de US$ 63 milhões já haviam sido transferidos para a Ethereum antes da implementação desses controles.
Embora o esforço coordenado tenha sido eficaz em impedir que os fundos fossem lavados, a comunidade cripto criticou a Sui por ser centralizada demais.
“Os validadores da SUI estão conspirando para CENSURAR as transações do hacker neste momento! Isso torna a SUI centralizada? A resposta curta é SIM; o que importa mais é o porquê? Os 'fundadores' possuem a maioria da oferta e há apenas 114 validadores!” escreveu Justin Bons, fundador da Cyber Capital, no X.
Como Bons apontou, a Sui tem apenas 114 validadores — muito menos que seus pares mais estabelecidos em contratos inteligentes. Ethereum tem mais de 1 milhão de validadores, enquanto a Solana possui 1.157.
Enquanto isso, membros da comunidade Sui defenderam a ação, argumentando que é assim que blockchains descentralizadas devem funcionar no mundo real.
“Descentralização não é ficar parado enquanto as pessoas se machucam, é sobre o poder de agir juntos, sem precisar de permissão,” disse um membro da comunidade Sui.
Relacionado: Credenciais DeFi da WLFI são questionadas após parceria com a Sui
Após o hack, desenvolvedores da Sui comprometeram código para uma função proposta que permitiria que transações específicas contornassem todas as verificações de assinatura e segurança ao serem adicionadas a uma lista branca.
Embora a função pudesse ter sido usada para ajudar a recuperar os fundos roubados, ela também levantou preocupações sobre controle centralizado e erosão da descentralização. O código acabou não sendo incorporado e não está ativo na rede.
Reações à Cetus e à Sui contrastam com hacks recentes
O exploit da Cetus destacou os desafios persistentes de segurança no DeFi ao mesmo tempo que levanta questões mais profundas sobre quem realmente controla redes supostamente descentralizadas como a Sui.
A oferta de US$ 6 milhões feita pela equipe ao hacker reflete a estratégia usada na Crema — mas desta vez, a comunidade cripto não está tão disposta a perdoar. Com o CETUS em queda, a confiança abalada e validadores congelando fundos, críticos questionam se a descentralização da Sui é mais aparência do que realidade.
O debate sobre descentralização não é exclusivo da Sui. Quando a Bybit perdeu US$ 1,4 bilhão em um hack em fevereiro ligado a atores estatais norte-coreanos, especialistas em segurança e usuários pediram que plataformas como THORChain e eXch bloqueassem os fundos.
Nesse caso, a THORChain foi criticada por não agir, o que é exatamente o oposto do que está sendo criticado na Sui agora.
Até o momento, o hacker não aceitou a oferta da Cetus. Duas carteiras Ethereum ligadas ao explorador ainda mantêm mais de US$ 60 milhões em ETH, com nenhuma movimentação até o momento da redação. Os endereços na Sui permanecem paralisados.