是什么引發(fā)了價值2.6億美元的Cetus協(xié)議黑客攻擊？Sui漏洞是如何蔓延成全鏈條危機的？

目錄

Cetus Protocol黑客攻擊在最新的Sui漏洞中抹去了2.6億美元

5月22日，Sui（SUI）區(qū)塊鏈上主要的去中心化交易所和流動性提供商Cetus Protocol（CETUS）遭遇重大安全漏洞。該漏洞估計消耗了2.23億美元，引發(fā)了整個Sui生態(tài)系統(tǒng)的DeFi活動立即中斷。

自2023年推出以來，Cetus已成為Sui基礎設施的核心部分，為超過62，000名活躍用戶提供代幣互換和收益養(yǎng)殖，每日交易費超過715萬美元。

截至本文撰寫時，Sui區(qū)塊鏈的原生代幣SUI從4.19美元大幅下跌至5月23日的3.62美元，一天內下跌近14%。

受影響協(xié)議的原生代幣CETUS在違規(guī)事件發(fā)生后立即從0.26美元下降至0.15美元。其目前0.17美元的價格僅標志著部分復蘇。

整個更廣泛生態(tài)系統(tǒng)的代幣也表現(xiàn)出類似的波動性。源于Sui的Memecoin，包括LOFI、HIPPO、SQULRT、SLOVE和MEMEMEARCH，跌幅從51%到97%不等。盡管此后價格趨于穩(wěn)定，但投資者信心仍然不穩(wěn)定。

在Cetus上列出的前15項資產中，超過75%的總價值被抹去。LBTC和AX OLcoin等一些代幣的價格暴跌至接近零。

更廣泛的影響超出了象征性價格。截至撰寫本文時，Sui的總價值從21.3億美元降至19.2億美元，反映出幾小時內的萎縮。

讓我們了解該漏洞是如何實施的、暴露了哪些結構性缺陷以及社區(qū)如何準備應對措施。

Sui黑客引發(fā)Cetus協(xié)議流動性耗盡

針對鯨魚協(xié)議的漏洞始于5月22日凌晨。太平洋時間凌晨3：52（協(xié)調標準時間11：52），區(qū)塊鏈監(jiān)控器檢測到SUI/USDC流動性池中的不規(guī)則流動，最初標記為可能流出1100萬美元。

正在進行的調查很快擴大了范圍，發(fā)現(xiàn)多個資金池的總損失可能在2.6億美元左右。

#SUI上的Cetus（@CetusProtocol）被黑客攻擊，損失超過2.6億美元！

黑客正在將被盜資金轉換為$USDC，并交叉鏈接到#Ethereum以兌換$ETH，其中已有約6000萬美元USDC pic.twitter.com/txfxLoImOd cross-chained.https://t.co/b0uGu8icXrhttps://t.co/0BpKSaygmr

- Lookonchain（@lookonchain）2025年5月22日

此次攻擊的重點是Cetus定價機制背后的智能合約系統(tǒng)中的一個漏洞。

該協(xié)議的核心是Oracle設計，負責將實時價格數據輸入平臺，以實現(xiàn)代幣對之間的公平交易。在這種情況下，Oracle充當了該漏洞利用的入口點。

涉及的錢包地址（標識為“0xe 28 b50”）部署了BULLA等欺騙代幣來操縱定價曲線并扭曲準備金余額。

盡管這些代幣幾乎沒有真正的流動性，但它們被用來扭曲內部池指標，使SUI和USDC等有價值的資產顯得抵押不足。在破壞定價邏輯后，攻擊者從池中提取了真實代幣，但沒有貢獻比例價值。

鏈上分析師追蹤到，攻擊者在漏洞發(fā)生后的幾個小時內，以USDC將約6300萬美元的資金從Sui轉移到以太坊（ETH）。

https://twitter.com/hackenclub/status/1925578439722950865

轉換數據顯示，5830萬美元被兌換成21，938 ETH，平均匯率為每枚硬幣2，658美元。執(zhí)行速度估計約為每分鐘100萬美元，表明行動經過協(xié)調和預先計劃。

Cetus最初將這個問題稱為“Oracle bug”，這個術語立即引起了開發(fā)人員和安全專家的審查。該漏洞的規(guī)模和精確性引發(fā)了人們對該框架的懷疑。

Cetus硬幣在Sui漏洞中曝光

Cetus漏洞的根源不是一行惡意代碼，而是該協(xié)議管理定價和池邏輯的結構性缺陷。

Cetus使用內部Oracle系統(tǒng)，該系統(tǒng)依賴集中的流動性池數據來生成實時價格反饋。其目的是減少對外部先知的依賴并限制對外部操縱的脆弱性。然而，在這樣做的過程中，該機制帶來了新的風險。

漏洞集中在智能合約中的“addLiquidity”、“removeLiquidity”和“swap”功能上。這些功能旨在計算代幣比率和池價值，但在與幾乎沒有經濟價值的資產交互時未能正確驗證輸入。

攻擊者通過引入BULLA等欺騙代幣來利用這一差距，這些代幣模仿了合法資產的結構，但沒有真正的流動性或定價歷史。

將這些代幣引入池扭曲了控制可以添加或刪除多少價值的自動化計算，實際上允許操縱協(xié)議的內部會計。

使用這些被欺騙的資產，攻擊者幾乎沒有提供真正的流動性，同時以人為有利的利率提取了大量的SUI和USDC。

網絡安全公司將該事件歸類為Oracle操縱的教科書示例，其中協(xié)議的內部設計成為了其自身的漏洞。

損失的規(guī)模反映在交易量上。Cetus上的鏈上活動從5月21日的3.2億美元飆升至5月22日的29億美元，這表明一旦攻擊開始，資金轉移和交換的速度有多快。

Move是一種用于在Sui上構建的編程語言，它包括防止可再入性等低級威脅的安全保護。在這種情況下，失敗發(fā)生在語言層之上。

智能合同執(zhí)行不是問題。合同完全按照指示執(zhí)行--真正的問題是這些指示根本被允許。

Cetus沒有過濾器或驗證步驟來確保只有具有實際流動性的代幣才能影響定價。它缺乏拒絕未經市場驗證的資產的保障措施。

在短窗口期間，沒有對價格偏差實施上限，并且一旦成交量開始飆升，也沒有斷路器來暫停異?；顒?。

一旦欺騙代幣進入并扭曲了定價引擎，系統(tǒng)的其余部分就會完全按照設計進行-最終使利用能夠毫無抵抗地展開。

Sui黑客凍結引發(fā)權力下放疑慮

一旦發(fā)現(xiàn)漏洞，Cetus就迅速采取行動控制損害。智能合約操作在5月22日凌晨4點左右暫停，以防止協(xié)議進一步流出。

不久之后，該項目的官方X賬戶發(fā)表了一份公開聲明，承認了這一事件，并承諾進行全面調查。截至5月23日，尚未公布詳細的驗尸報告。

一個更廣泛的反應在Sui生態(tài)系統(tǒng)中展開。Sui基金會與驗證者和主要合作伙伴協(xié)調，將攻擊者的地址列入黑名單，并凍結了Sui網絡上價值約1.62億美元的被盜資產。

https://twitter.com/CetusProtocol/status/1925567348586815622

追回剩余資金（估計在6000萬至9800萬美元之間）的努力遇到了挑戰(zhàn)。利用后不久，約6000萬至6300萬美元的USDC資金從Sui中轉移出來，并轉換為21，938個ETH。

為了鼓勵資金返還，Cetus延長了600萬美元的白帽懸賞要約。該提案針對的是轉換后的ETH，并包括一個堅定的條件：任何洗錢或轉移資產的企圖都將使該提議無效。截至目前，攻擊者尚未公開任何回應。

追蹤工作涉及多家網絡安全公司和監(jiān)管機構。Inca Digital正在領導談判過程，Hacken和PeckShield的法醫(yī)支持。

Sui基金會還與FinCEN和美國國防部等機構協(xié)調，探索更多的恢復和法律選擇。

交易所支持好壞參半。幣安創(chuàng)始人趙昌鵬對X表示聲援，并確認幣安正在協(xié)助恢復協(xié)調，盡管尚未公開證實技術干預或賬戶凍結。

https://twitter.com/cz_binance/status/1925521793231548508

錢包凍結引發(fā)了圍繞權力下放的更廣泛討論。X上的幾位用戶強調，Sui驗證器協(xié)調阻止了來自攻擊者地址的交易，凍結了超過1.6億美元的資產。

SUI凍結了Cetus鏈上黑客的1.6億美元，其中超過2.2億美元。6000萬美元的缺口被彌補到了ETH。

雖然在這種情況下這很好，但這表明SUI網絡可以按需凍結您的資金。

去中心化只是BTC/ETH之外的營銷。pic.twitter.com/IO9b4h3NUq

- Duo Nine YCC（@DU09BTC）2025年5月22日

雖然在這種情況下是有效的，但此舉引起了人們對驗證器可以對網絡行為進行多少控制的擔憂。

批評者認為，這種協(xié)調挑戰(zhàn)了去中心化的原則，并暗示驗證者驅動的審查是可能的，這讓人懷疑像Sui這樣的網絡是真正去中心化的，還是只是聲稱去中心化。

披露：本文不代表投資建議。本頁面上的內容和材料僅用于教育目的。