是什么引发了价值2.6亿美元的Cetus协议黑客攻击?Sui漏洞是如何蔓延成全链条危机的?
目录
Cetus Protocol黑客攻击在最新的Sui漏洞中抹去了2.6亿美元
5月22日,Sui(SUI)区块链上主要的去中心化交易所和流动性提供商Cetus Protocol(CETUS)遭遇重大安全漏洞。该漏洞估计消耗了2.23亿美元,引发了整个Sui生态系统的DeFi活动立即中断。
自2023年推出以来,Cetus已成为Sui基础设施的核心部分,为超过62,000名活跃用户提供代币互换和收益养殖,每日交易费超过715万美元。
截至本文撰写时,Sui区块链的原生代币SUI从4.19美元大幅下跌至5月23日的3.62美元,一天内下跌近14%。
受影响协议的原生代币CETUS在违规事件发生后立即从0.26美元下降至0.15美元。其目前0.17美元的价格仅标志着部分复苏。
整个更广泛生态系统的代币也表现出类似的波动性。源于Sui的Memecoin,包括LOFI、HIPPO、SQULRT、SLOVE和MEMEMEARCH,跌幅从51%到97%不等。尽管此后价格趋于稳定,但投资者信心仍然不稳定。
在Cetus上列出的前15项资产中,超过75%的总价值被抹去。LBTC和AX OLcoin等一些代币的价格暴跌至接近零。
更广泛的影响超出了象征性价格。截至撰写本文时,Sui的总价值从21.3亿美元降至19.2亿美元,反映出几小时内的萎缩。
让我们了解该漏洞是如何实施的、暴露了哪些结构性缺陷以及社区如何准备应对措施。
Sui黑客引发Cetus协议流动性耗尽
针对鲸鱼协议的漏洞始于5月22日凌晨。太平洋时间凌晨3:52(协调标准时间11:52),区块链监控器检测到SUI/USDC流动性池中的不规则流动,最初标记为可能流出1100万美元。
正在进行的调查很快扩大了范围,发现多个资金池的总损失可能在2.6亿美元左右。
#SUI上的Cetus(@CetusProtocol)被黑客攻击,损失超过2.6亿美元!
- Lookonchain(@lookonchain)2025年5月22日
黑客正在将被盗资金转换为$USDC,并交叉链接到#Ethereum以兑换$ETH,其中已有约6000万美元USDC pic.twitter.com/txfxLoImOd cross-chained.https://t.co/b0uGu8icXrhttps://t.co/0BpKSaygmr
此次攻击的重点是Cetus定价机制背后的智能合约系统中的一个漏洞。
该协议的核心是Oracle设计,负责将实时价格数据输入平台,以实现代币对之间的公平交易。在这种情况下,Oracle充当了该漏洞利用的入口点。
涉及的钱包地址(标识为“0xe 28 b50”)部署了BULLA等欺骗代币来操纵定价曲线并扭曲准备金余额。
尽管这些代币几乎没有真正的流动性,但它们被用来扭曲内部池指标,使SUI和USDC等有价值的资产显得抵押不足。在破坏定价逻辑后,攻击者从池中提取了真实代币,但没有贡献比例价值。
链上分析师追踪到,攻击者在漏洞发生后的几个小时内,以USDC将约6300万美元的资金从Sui转移到以太坊(ETH)。
转换数据显示,5830万美元被兑换成21,938 ETH,平均汇率为每枚硬币2,658美元。执行速度估计约为每分钟100万美元,表明行动经过协调和预先计划。
Cetus最初将这个问题称为“Oracle bug”,这个术语立即引起了开发人员和安全专家的审查。该漏洞的规模和精确性引发了人们对该框架的怀疑。
Cetus硬币在Sui漏洞中曝光
Cetus漏洞的根源不是一行恶意代码,而是该协议管理定价和池逻辑的结构性缺陷。
Cetus使用内部Oracle系统,该系统依赖集中的流动性池数据来生成实时价格反馈。其目的是减少对外部先知的依赖并限制对外部操纵的脆弱性。然而,在这样做的过程中,该机制带来了新的风险。
漏洞集中在智能合约中的“addLiquidity”、“removeLiquidity”和“swap”功能上。这些功能旨在计算代币比率和池价值,但在与几乎没有经济价值的资产交互时未能正确验证输入。
攻击者通过引入BULLA等欺骗代币来利用这一差距,这些代币模仿了合法资产的结构,但没有真正的流动性或定价历史。
将这些代币引入池扭曲了控制可以添加或删除多少价值的自动化计算,实际上允许操纵协议的内部会计。
使用这些被欺骗的资产,攻击者几乎没有提供真正的流动性,同时以人为有利的利率提取了大量的SUI和USDC。
网络安全公司将该事件归类为Oracle操纵的教科书示例,其中协议的内部设计成为了其自身的漏洞。
损失的规模反映在交易量上。Cetus上的链上活动从5月21日的3.2亿美元飙升至5月22日的29亿美元,这表明一旦攻击开始,资金转移和交换的速度有多快。
Move是一种用于在Sui上构建的编程语言,它包括防止可再入性等低级威胁的安全保护。在这种情况下,失败发生在语言层之上。
智能合同执行不是问题。合同完全按照指示执行--真正的问题是这些指示根本被允许。
Cetus没有过滤器或验证步骤来确保只有具有实际流动性的代币才能影响定价。它缺乏拒绝未经市场验证的资产的保障措施。
在短窗口期间,没有对价格偏差实施上限,并且一旦成交量开始飙升,也没有断路器来暂停异常活动。
一旦欺骗代币进入并扭曲了定价引擎,系统的其余部分就会完全按照设计进行-最终使利用能够毫无抵抗地展开。
Sui黑客冻结引发权力下放疑虑
一旦发现漏洞,Cetus就迅速采取行动控制损害。智能合约操作在5月22日凌晨4点左右暂停,以防止协议进一步流出。
不久之后,该项目的官方X账户发表了一份公开声明,承认了这一事件,并承诺进行全面调查。截至5月23日,尚未公布详细的验尸报告。
一个更广泛的反应在Sui生态系统中展开。Sui基金会与验证者和主要合作伙伴协调,将攻击者的地址列入黑名单,并冻结了Sui网络上价值约1.62亿美元的被盗资产。
追回剩余资金(估计在6000万至9800万美元之间)的努力遇到了挑战。利用后不久,约6000万至6300万美元的USDC资金从Sui中转移出来,并转换为21,938个ETH。
为了鼓励资金返还,Cetus延长了600万美元的白帽悬赏要约。该提案针对的是转换后的ETH,并包括一个坚定的条件:任何洗钱或转移资产的企图都将使该提议无效。截至目前,攻击者尚未公开任何回应。
追踪工作涉及多家网络安全公司和监管机构。Inca Digital正在领导谈判过程,Hacken和PeckShield的法医支持。
Sui基金会还与FinCEN和美国国防部等机构协调,探索更多的恢复和法律选择。
交易所支持好坏参半。币安创始人赵昌鹏对X表示声援,并确认币安正在协助恢复协调,尽管尚未公开证实技术干预或账户冻结。
钱包冻结引发了围绕权力下放的更广泛讨论。X上的几位用户强调,Sui验证器协调阻止了来自攻击者地址的交易,冻结了超过1.6亿美元的资产。
SUI冻结了Cetus链上黑客的1.6亿美元,其中超过2.2亿美元。6000万美元的缺口被弥补到了ETH。
- Duo Nine YCC(@DU09BTC)2025年5月22日
虽然在这种情况下这很好,但这表明SUI网络可以按需冻结您的资金。
去中心化只是BTC/ETH之外的营销。pic.twitter.com/IO9b4h3NUq
虽然在这种情况下是有效的,但此举引起了人们对验证器可以对网络行为进行多少控制的担忧。
批评者认为,这种协调挑战了去中心化的原则,并暗示验证者驱动的审查是可能的,这让人怀疑像Sui这样的网络是真正去中心化的,还是只是声称去中心化。
披露:本文不代表投资建议。本页面上的内容和材料仅用于教育目的。
